manuel d'installation d'ipcop v1.4 -...

Manuel d'Installation d'IPCopv1.4.0

Pete WalkerHarry Goldschmitt

Stephen Pielschmidt

Manuel d'Installation d'IPCop v1.4.0par Pete Walker, Harry Goldschmitt, et Stephen PielschmidtVersion française : Patrick BernaudRelecture version française : Emeric Legrand, Stéphane Le Bourdon, Hervé Baron, Éric BonifaceCopyright © 2002-2004 Peter Walker, Harry Goldschmitt, Stephen Pielschmidt

IPCop est distribué sous le couvert de la Licence Publique Générale GNU [http://www.gnu.org/licenses/gpl.html].

Ce programme est distribué dans l'espoir qu'il sera utile, mais SANS AUCUNE GARANTIE, ni explicite ni implicite, y com-pris les garanties de commercialisation ou d'adaptation dans un but spécifique. Prenez connaissance de la Licence PubliqueGénérale GNU pour plus de détails.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation Li-cense, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, with no Front-Cover Texts, and with no Back-Cover Texts. A copy of the license is included in the section entitled GNU Free Documenta-tion License.

Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de DocumentationLibre GNU (GNU Free Documentation License), version 1.2 ou toute version ultérieure publiée par la Free Software Founda-tion ; sans Section Invariable ; sans Texte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copiede la présente Licence est incluse dans la section intitulée GNU Free Documentation License.

http://www.gnu.org/licenses/gpl.html

Table des matièresIntroduction ....................................................................................................... vii

Caractéristiques .......................................................................................... viiAperçu ..................................................................................................... viii

1. Préparation à l'installation ................................................................................... 1Mettre à jour votre IPCop 1.2.0 ou suivant ......................................................... 1Choisir votre configuration ............................................................................. 1

Interfaces réseau ................................................................................... 1Configurations réseau ............................................................................ 3Types de configuration réseau ................................................................. 3Connexion à l'Internet ou à un réseau externe ............................................. 4Choisir les plages d'adresses de vos réseaux locaux ...................................... 5

Récolter des informations sur votre matériel ....................................................... 5Préparer le PC IPCop ..................................................................................... 5Choisir et préparer le support d'installation ......................................................... 6

Créer le CD .......................................................................................... 7Monter l'image ISO ............................................................................... 7Création des disquettes à partir de leurs images ........................................... 8Mettre à disposition le fichier d'installation ................................................ 8

2. Lancement de l'installation d'IPCop ....................................................................... 9Installation depuis un CD bootable ou depuis une disquette bootable et le CD ........... 9Installation à l'aide d'une disquette et d'un serveur Web ou FTP ............................17

3. Configuration initiale .........................................................................................264. Après l'installation ............................................................................................37

Sélection du noyau .......................................................................................37Changer de configuration par défaut ........................................................38

Tester l'accès à IPCop ...................................................................................38Éventuellement, retirer les périphériques inutiles ................................................39

A. Introduction rapide aux réseaux locaux .................................................................40Câblage ......................................................................................................40

Un unique ordinateur sur VERT, BLEU ou ORANGE ................................40Plusieurs ordinateurs sur un même réseau .................................................40

Adressage IP ...............................................................................................40Format d'une adresse ............................................................................40Réseaux .............................................................................................41Classes d'adresses de réseaux .................................................................41Plages d'adresses privées .......................................................................41

B. Résolution des problèmes d'installation ................................................................43Consoles cachées .........................................................................................43Oubli/perte du mot de passe root .....................................................................44

C. Installation d'IPCop sur un système à base de mémoire Flash ....................................45Pourquoi vouloir monter un système utilisant de la mémoire Flash ? ......................45Autres ressources sur CF ...............................................................................45Présentation de la tâche .................................................................................45Étapes d'installation CF .................................................................................46

Récupérer la machine cible ....................................................................46Installer IPCop sur une machine intermédiaire ...........................................46Récupérer mkflash.sh et les fichiers associés .............................................47Télécharger mkflash.sh .........................................................................47Lancer mkflash.sh ................................................................................47Écrire sur la Compact Flash ...................................................................47Installer votre nouvelle image et démarrer .................................................48Lancer la commande setup .....................................................................48

Faire une sauvegarde de votre Compact Flash avec ssh ........................................48D. GNU Free Documentation License ......................................................................50

0. Preamble .................................................................................................501. Applicability and Definitions ......................................................................502. Verbatim Copying ....................................................................................51

iv

3. Copying In Quantity ..................................................................................514. Modifications ...........................................................................................525. Combining Documents ..............................................................................536. Collections of Documents ...........................................................................537. Aggregation With Independent Works ..........................................................548. Translation ..............................................................................................549. Termination .............................................................................................5410. Future Revisions of This License ...............................................................54ADDENDUM: How to use this License for your documents ................................54

Manuel d'Installation d'IPCop v1.4.0

v

Liste des tableaux1.1. Besoins en cartes réseau ................................................................................... 31.2. Supports nécessaires à chaque méthode d'installation ............................................. 6

vi

IntroductionIPCop Linux est une distribution Linux complète. Son seul but est de protéger le réseau sur lequelelle est mise en oeuvre. En implémentant les technologies existantes, les technologies émergentes eten se servant de pratiques de programmations sûres, IPCop est La Distribution Linux pour ceux quiveulent garantir la sécurité de leurs ordinateurs et réseaux.

IPCop est un logiciel Open Source distribué sous les termes de la GNU General Public License[http://www.gnu.org/licenses/gpl.html]. En plus des multiples avantages inhérents à la formuleOpen Source, le fait que les sources soient disponibles permet à des experts en sécurité du mondeentier d'auditer le code et de corriger les éventuelles failles de sécurité.

Du fait de ses faibles besoins pour une mise en oeuvre simple, cette distribution peut être installéesur des PC « recyclés ». Pour plus de détails sur les exigences matérielles d'IPCop, consultez la Listede Compatibilité Matérielle[http://ipcop.sourceforge.net/cgi-bin/twiki/view/IPCop/IPCopHCLv01fr] d'IPCop.

Caractéristiques

• Une distribution de pare-feu basée sur Linux, stable, sécurisée et hautement configurable.

• Une administration facile depuis un navigateur par l'intégration d'un serveur web.

• Un client DHCP permettant éventuellement à IPCop d'obtenir une adresse IP de votre FAI.

• Un serveur DHCP vous permettant de configurer facilement les machines de votre réseau in-terne.

• Un serveur mandataire DNS pour accélérer la résolution des requêtes de nom de domaine.

• Un serveur mandataire web (proxy) pour accélérer l'accès au web.

• Un système de détection d'intrusion pour identifier les attaques externes sur votre réseau.

• La possibilité de segmenter votre réseau en un réseau VERT, sûr, protégé de l'Internet ; un ré-seau BLEU pour votre réseau local WiFi ; et un réseau ORANGE, zone démilitarisée ou DMZen partie protégée de l'Internet rassemblant vos serveurs publiquement accessibles.

• Une possibilité de VPN vous permettant de connecter ensemble plusieurs réseaux locaux par leréseau Internet pour ne former qu'un unique réseau logique ou d'intégrer vos PC sans fil du ré-seau BLEU à votre réseau filaire VERT.

• La possibilité de répartir votre bande passante (traffic shaping) par exemple pour fixer une prio-rité plus élevée aux services interactifs tels que ssh ou telnet, une priorité élevée à la navigationweb mais une priorité faible aux services gourmands comme FTP.

• Un support amélioré des VPN avec certificats x509.

• Un système entièrement compilé avec ProPolice[http://www.research.ibm.com/trl/projects/security/ssp/] pour prévenir des attaques de type cor-ruption de pile sur toutes les applications.

• Le choix entre quatre noyaux différents pour permettre une adaptation parfaite à toutes les confi-gurations.

Les instructions pour installer IPCop sur une carte Compact Flash sont données en Annexe C,Installation d'IPCop sur un système à base de mémoire Flash.

vii


http://ipcop.sourceforge.net/cgi-bin/twiki/view/IPCop/IPCopHCLv01fr


http://www.research.ibm.com/trl/projects/security/ssp/

AperçuVous allez installer un système d'exploitation sur votre PC IPCop. Cette distribution utilise le sys-tème d'exploitation Linux mais cela ne signifie pas qu'il s'agisse d'une distribution Linux généraliste.Au contraire, elle a été étudiée pour réduire au maximum les fonctionnalités inutiles à un pare-feu.L'idée qui a dirigé ce choix est que plus le code exécuté est important, plus le système est vulné-rable. Ne vous attendez donc pas à trouver sur IPCop des programmes tels que sendmail, des dé-mons FTP... Ces services ne sont pas nécessaires sur un pare-feu et peuvent en outre présenter desfailles de sécurité bien connues des utilisateurs malveillants.

Même si ces instructions peuvent paraître longues et très détaillées, prenez à coeur de les lire attenti-vement. Quand vous aurez déterminé ce que vous voulez obtenir et récupéré les paramètres de votreconfiguration actuelle, l'installation d'IPCop ne vous prendra pas plus de quinze minutes.

Vous devrez démarrer la machine depuis le support d'installation ou depuis une disquette. Le sup-port d'installation est distribué sous la forme d'un fichier image ISO. Si vous possédez un graveur deCD, vous pourrez créer un CD démarrable à partir de cette image ISO. Si vous ne possédez pas degraveur, vous pourrez toujours placer le contenu de l'image ISO sur un serveur Web ou FTP. Unedisquette de démarrage vous sera nécessaire si le PC IPCop ne peut pas démarrer depuis le CD.

Introduction

viii

Chapitre 1. Préparation à l'installation

ATTENTION : lorsque vous installez IPCop sur une machine, le disque dur est formaté ettoutes les données qu'il contient sont perdues.

Mettre à jour votre IPCop 1.2.0 ou suivantDepuis IPCop 1.3.0, il est possible de mettre à jour votre PC IPCop à partir d'un IPCop de version1.2.0 ou plus récente en effectuant une sauvegarde de votre configuration. Utilisez l'interface webpour vous identifier sur le PC IPCOP et, depuis la page de création des sauvegardes, créez une dis-quette qui contiendra la configuration courante. Reportez-vous à la section du Manueld'Administration Écran Système->Sauvegarde[http://www.ipcop.org/1.3.0/en/admin/html/system.html#backup] si vous ne savez pas commentfaire. Pendant l'installation, vous aurez la possibilité de restaurer une ancienne configuration depuisune de ces disquettes de sauvegarde. Insérez alors la disquette de sauvegarde dans le lecteur et ré-pondez « Restaurer ».

Choisir votre configurationInterfaces réseau

Quatre interfaces réseau sont définies par IPCop : ROUGE, VERTE, BLEUE et ORANGE.

Interface réseau ROUGE

Ce réseau correspond à l'Internet ou tout autre réseau considéré non sûr. Le but premier d'IPCop estde protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont ratta-chés du trafic provenant de ce réseau ROUGE. Votre méthode de connexion et votre matériel actuelserviront à la connexion à ce réseau.

Interface réseau VERTE

Cette interface est reliée aux ordinateurs qu'IPCop doit protéger. Il s'agit en règle générale d'un ré-seau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Interface réseau BLEUE

Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Lesordinateurs de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d'oeilletons

1

http://www.ipcop.org/1.3.0/en/admin/html/system.html#backup

(« pinholes ») volontairement établis, ou par le biais d'un VPN. Cette interface utilise une carte ré-seau Ethernet dans la machine IPCop.

Interface réseau ORANGE

Ce réseau optionnel vous permet d'isoler sur un réseau séparé vos serveurs accessibles au public.Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vousn'établissiez volontairement un oeilleton (« DMZ pinholes »). Cette interface utilise une carte réseauEthernet dans la machine IPCop.

Interfaces réseau

Vous aurez besoin d'au moins un câble Ethernet et une carte d'interface réseau. Dans la configura-tion la plus complète et dans le cas d'une connexion à Internet par Ethernet, pas moins de quatrecartes seront nécessaires.

Chaque carte réseau correspond à une carte physique à insérer dans la machine IPCop.

Vous devez donc prévoir une carte et un câble réseau pour chacun des réseaux VERT, BLEU et/ouORANGE de votre future configuration. Les réseaux VERT et ROUGE sont obligatoires. Les ré-seaux ORANGE et BLEU sont optionnels. Les besoins pour l'interface du réseau ROUGE dé-pendent du type de votre connexion à l'Internet. Le réseau ROUGE peut nécessiter une carte réseauEthernet et un câble supplémentaires.

Configuration ROUGE, ORANGE, BLEU, VERT.

Préparation à l'installation

2

Le diagramme ROUGE, ORANGE, BLEU, VERT précédent montre que chaque interface réseau endehors du réseau ROUGE nécessite une carte réseau Ethernet. Si vous utilisez actuellement uneconnexion à Internet par Ethernet, vous aurez besoin d'une carte supplémenaire pour ce réseau. Tousces réseaux doivent posséder une adresse réseau différente.

Note

Pour rappel, les réseaux BLEU et ORANGE sont optionnels.

Tableau 1.1. Besoins en cartes réseau

Connexion Modem ISDN USB ADSL Ethernet

ROUGE, VERT 1 carte (V) 1 carte (V) 1 carte (V) 2 cartes (V,R)

ROUGE, BLEU,VERT

2 cartes (B,V) 2 cartes (B,V) 2 cartes (B,V) 3 cartes (B,V,R)

ROUGE,ORANGE,VERT

2 cartes (O,V) 2 cartes (O,V) 2 cartes (O,V) 3 cartes (O,V,R)

ROUGE,ORANGE,BLEU, VERT

3 cartes (O,B,V) 3 cartes (O,B,V) 3 cartes (O,B,V) 4 cartes (O,B,V,R)

Niveau relatif de sécurité sur les interfaces réseau d'IPCop

Le modèle de sécurité mis en oeuvre avec IPCop comporte un réseau totalement sûr (VERT). Lesrequêtes issues de ce réseau sont considérées comme légitimes et autorisées par IPCop (et ce qu'ellessoient initiées par un utilisateur ou par une machine infectée par un virus, un cheval de Troie outoute autre sorte de « malware »).

IPCop 1.4.0 supporte désormais l'activation du système de détection des intrusions (IDS) sur chaqueinterface réseau de la configuration. Il est fortement recommandé de surveiller le journal des évène-ments de l'IDS pour vos réseaux internes dans le but de vérifier qu'aucune des machines dont vousêtes responsable n'a de comportement étrange, comportement parfois signe d'une infection par un vi-rus.

Un classement des réseaux proposés par IPCop par ordre décroissant de niveau de confiance donnela suite ci-dessous :

ROUGE#ORANGE#BLEU#VERT

Configurations réseauLa configuration de base correspond à une configuration ROUGE/VERT dans laquelle IPCop pro-tège un unique réseau interne (VERT) de l'Internet (ROUGE). Si vous possédez un point d'accèsWiFi, vous pouvez le connecter à la carte réseau d'une interface BLEUE et demander à IPCop derestreindre l'accès des machines à votre réseau local sans fil. Si vous possédez un ou plusieurs ser-veurs que vous souhaitez rendre accessible de l'Internet, vous pouvez les placer sur un réseau nonsûr, qualifié de DMZ ou zone démilitarisée, relié à la carte réseau d'une interface ORANGE. Vousdevez donc décider dès maintenant de la combinaison d'interfaces dont vous souhaitez disposer pourvotre installation.

Types de configuration réseauDans la mesure où l'interface ROUGE peut être de type modem ou Ethernet, huit configurations ré-seau sont possibles :


3

• VERT (ROUGE est un modem/ISDN)

• VERT + ROUGE (ROUGE est en Ethernet)

• VERT + ORANGE + ROUGE (ROUGE est en Ethernet)

• VERT + ORANGE (ROUGE est un modem/ISDN)

• VERT + BLEU + ROUGE (ROUGE est en Ethernet)

• VERT + BLEU (ROUGE est un modem/ISDN)

• VERT + BLEU + ORANGE + ROUGE (ROUGE est en Ethernet)

• VERT + BLEU + ORANGE (ROUGE est un modem/ISDN)

Connexion à l'Internet ou à un réseau externeComment vous connectez-vous actuellement à l'Internet ?

Si vous vous connectez à l'aide d'un modem externe broadband ou d'un routeur, vous utilisez vrai-semblablement une carte d'interface réseau de type Ethernet. Auquel cas une carte similaire devra setrouver dans votre PC IPCop. Si vous vous connectez à l'aide d'un modem analogique interne ou unmodem ISDN ou un modem ADSL USB, vous devrez le retirer pour le brancher sur votre PC IP-Cop. Si vous vous connectez à l'aide d'un modem analogique externe, vous devrez le connecter àvotre PC IPCop.

Ce périphérique de connexion sera utilisé comme interface réseau ROUGE.

Relevez quelques paramètres clefs sur votre interface actuelle avant de vous lancez dansl'installation :

• vérifiez comment vous obtenez actuellement une adresse IP : adresse IP statique, par DHCP, parPPPOE ou par PPTP.

• si vous obtenez l'adresse par DHCP, vérifiez si votre système possède un nom d'hôte qu'il in-dique au serveur de votre FAI. Voyez pour cela le paragraphe Vérification du nom d'hôteDHCP, ci-dessous.

• récupérez les adresses des serveurs de noms que vous utilisez. Le serveur DHCP de votre FAIpeut vous fournir automatiquement ces adresses ou vous pouvez avoir à les indiquer manuelle-ment.

• relevez les éventuelles adresses par défaut de sous-domaine. Cela vous permet d'accéder à cer-tains services tels que mail ou news sans taper le nom d'hôte complet. Voyez l'explication dansle paragraphe de configuration de DHCP.

Vérification du nom d'hôte DHCP

Si vous ne savez pas si votre FAI impose un nom d'hôte ou si vous ne savez pas de quoi il s'agit,consultez les documents fournis par votre FAI avec le kit de connexion ou appellez son serviced'assistance. Si cela ne vous avance pas plus, tapez la commande :

$ ifconfig -a

sur une machine *nix, et intéressez-vous à l'adresse IP de l'interface eth0. Sur une machine sousWindows 95, 98, ME, etc, la commande précédente devient :


4

C:\winipcfg

tapée sur la ligne de commande. Sur une machine sous Windows NT, Windows 2000 ou WindowsXP, la commande s'écrit :

C:\ipconfig /all

Quelque soit votre système d'exploitation, notez l'adresse IP puis tapez la commande :

$ nslookup nnn.nnn.nnn.nnn

où nnn.nnn.nnn.nnn est l'adresse IP relevée. Si vous obtenez une réponse à cette commande,notez le nom d'hôte complet retourné. Le début peut correspondre au nom d'hôte DHCP, alors que lafin peut être utilisée lors de la configuration du service DHCP d'IPCop.

Choisir les plages d'adresses de vos réseaux locauxVous devez choisir une plage d'adresses à affecter à votre réseau VERT ou réseau local. Il ne s'agitpas de l'adresse IP fournie par votre FAI. Les adresses de ce réseau n'apparaîtront jamais sur Inter-nent. IPCop utilise en effet une technique appelée Port Address Translation, ou PAT, qui permet decacher les machines du réseau VERT à une personne regardant votre système depuis l'Internet. Pourne pas rencontrer de conflits d'adresses IP, il est recommandé de choisir une des plages d'adressesdéfinie dans RFC1918 [ftp://ftp.isi.edu/in-notes/rfc1918.txt] comme plages d'adresses privées (nonroutables). Il existe plus de 65,000 plages différentes que vous pouvez choisir. Pour une liste desplages d'adresses réseau disponibles, reportez-vous à l'annexe A. Le plus simple et commun des ré-seaux à utiliser est le réseau 192.168.1.xxx. Cela vous permet d'avoir un peu plus de 250 ordinateursconnectés ensembles derrière votre IPCop. En général, les routeurs ou pare-feu se voient attribuerune adresse IP tout en haut ou tout en bas de la plage d'adresses IP du réseau qu'ils servent. Il estdonc recommandé de prendre l'adresse 192.168.1.1 pour l'interface VERTE de votre IPCop. IPCopva automatiquement adapter le masque de réseau à l'adresse IP que vous lui indiquerez mais il vousest toujours possible d'en indiquer un autre.

Si vous souhaitez disposer d'un réseau BLEU et/ou ORANGE, sélectionnez des adresses réseauxdifférentes pour chacun d'eux. Par exemple, le réseau BLEU peut se voir attribuer les adresses en192.168.2.xxx et ORANGE les adresses en 192.168.3.xxx. Encore un fois, ces deux plages vouspermettent de connecter un peu plus de 250 ordinateurs sur chaque réseau.

Récolter des informations sur votre matérielMême si IPCop est capable de trouver seul la plupart des cartes réseau présentes dans votre ma-chine, il peut s'avérer nécessaire de configurer manuellement une ou plusieurs cartes durant la pro-cédure d'installation. Dans ce cas, le type, l'adresse d'E/S et le numéro d'IRQ de la carte vous serontnécessaires. La façon la plus simple pour récolter ces informations est d'utiliser la disquette accom-pagnant la carte et fournie par le fabricant qui contient souvent un utilitaire de configuration. Autre-ment, vous pouvez consulter le site web du fabricant.

IPCop essayera également de reconnaître votre carte ISDN interne si vous en possédez une. À nou-veau, si IPCop ne parvient pas à trouver ce modem, vous devrez connaître le type, l'adresse d'E/S etle numéro d'IRQ de votre carte modem. Vous pouvez utiliser la disquette fournie par le fabricantavec la carte pour configurer le modem ou pour récupérer ces informations. Autrement, reportez-vous au site web du fabricant. Par ailleurs, vous aurez besoin de connaître le pays, le protocole deconnexion et le numéro de téléphone local pour votre modem pour finir de configurer votre modem.

Préparer le PC IPCopRécupérez le futur PC IPCop. Consultez la Liste de Compatibilité Matérielle[http://ipcop.sourceforge.net/cgi-bin/twiki/view/IPCop/IPCopHCLv01fr] pour vérifier que le PCque vous souhaitez utiliser est compatible avec IPCop.


5

ftp://ftp.isi.edu/in-notes/rfc1918.txt


Ajoutez les cartes réseau nécessaires à votre future configuration d'IPCop. Vous aurez besoin d'aumoins une carte réseau Ethernet pour l'interface VERTE. Si vous souhaitez avoir en plus une inter-face BLEUE et/ou ORANGE, vous devrez compter une carte réseau supplémentaire pour chacune.Si votre interface ROUGE est de type Ethernet, vous aurez encore besoin d'une autre carte réseauEthernet.

Insérez la carte modem ISDN si nécessaire.

Durant le processus d'installation, un moniteur branché au PC IPCop sera nécessaire. IPCop reste enpermanence en mode caractère de sorte que quasiment n'importe quel moniteur convient. Ce moni-teur peut être débranché après l'installation. De plus, vous aurez besoin d'un clavier. Le clavier peutégalement être débranché après l'installation si votre BIOS vous permet de désactiver le test BIOSde la présence d'un clavier.

Paramétrez le BIOS de la machine pour qu'elle fonctionne le plus possible comme un serveur indé-pendant. Par exemple :

• désactivez les options d'économie d'énergie sur la consomnation du processeur ; l'ordinateurcible doit être réveillé par une activité sur n'importe laquelle des cartes réseau et/ou sur le mo-dem. Il est souvent plus simple et plus sûr de désactiver complètement les options d'économied'énergie. Vous pouvez cependant laisser active celle concernant la carte vidéo.

• activez dans le BIOS l'option de démarrage à l'allumage.

• désactivez, si possible, le test BIOS de présence du clavier au démarrage.

• faites en sorte que la machine redémarre après une panne d'alimentation (« Always restore po-wer after power failure »). Votre IPCop redémarrera ainsi tout seul au rétablissement du secteuraprès une coupure.

• dans la mesure où la configuration de votre IPCop peut être sauvegardée sur une disquette, iln'est pas inhabituel de laisser une disquette dans le lecteur.

Si vous installez IPCop depuis le CD, assurez-vous que votre machine ne démarre que depuis lelecteur de CD ou le disque dur. Désactivez toutes les possibilités de démarrage à l'exception dudémarrage depuis le disque dur lorsque vous aurez installé IPCop sur la machine.

Choisir et préparer le support d'installationTéléchargez l'image ISO sur le site www.ipcop.org[http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHomefr]. Cette image fait environ 42 megaoc-tets. Avant tout autre chose, vous devrez comparer le checksum MD5[http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQfr#A_quoi_sert_ce_nombre_libell_md5] du fichier que vous venez de télécharger avec celle indiquée sur le site web d'IPCop.

Trois méthodes d'installation d'IPCop vous sont proposées. La matrice suivante détaille ces mé-thodes et les besoins de chacunes.

Tableau 1.2. Supports nécessaires à chaque méthode d'installation

Méthode Disquette deDémarrage

Disquette de Pi-lotes

Lecteur deCD

Serveur FTP/Web

Démarrage CD N N O N

Démarrage Disquettepuis CD

O N O N

Démarrage Disquettepuis Serveur FTP/Web

O O N O


6

http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHomefr

http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopFAQfr#A_quoi_sert_ce_nombre_libell_md5

Si votre PC IPCop dispose d'un lecteur de CD et si le BIOS permet de démarrer du CD, vous pouvezutilisez la méthode « Démarrage CD » pour l'installation. Le lecteur de CD pourra être débranché àla fin de l'installation.

Si le PC IPCop ne peut pas démarrer depuis le CD, mais dispose d'un lecteur de CD et d'un lecteurde disquette, la méthode « Démarrage Disquette puis CD » peut être utilisée. Les deux lecteurspeuvent être débranchés à la fin de l'installation. Néanmoins, si vous souhaitez pouvoir faire dessauvegardes de la configuration de votre IPCop, vous devrez laisser branché le lecteur de disquette.

Enfin si votre PC IPCop ne dispose que d'un lecteur de disquette ou si vous ne possédez pas de gra-veur de CD, la méthode « Démarrage Disquette puis Serveur FTP/Web » doit être suivie. Encoreune fois, le lecteur de disquette peut être débranché à la fin de l'installation. Néanmoins, si vous sou-haitez pouvoir faire des sauvegardes de la configuration de votre IPCop, vous devrez conserverbranché le lecteur de disquette.

Créer le CDSi vous possédez un graveur de CD, utilisez votre utilitaire de gravure préféré pour transférer lecontenu de l'image ISO sur un CD-ROM. Comprenez bien que l'image du CD IPCop correspond àl'image d'un CD entier. Il est souvent difficile de localiser l'option « Burn CD From ISO or DiskImage » dans nombre de programmes de gravure de CD. Cette option peut ne pas se trouver dans lemenu qui vous paraîtrait évident. Si le CD gravé ne contient qu'un seul fichier, il n'a pas été créécorrectement.

Monter l'image ISOSi vous ne possédez pas de graveur de CD, pas de problème. Vous pouvez tout de même installerIPCop mais vous devrez préalablement suivre les manipulations décrites dans les paragraphes sui-vants. Ces manipulations dépendent du matériel et des systèmes d'exploitation dont vous disposezsur vos autres ordinateurs.

Linux

Depuis un système Linux ou Unix, vous pouvez monter l'image du CD par les commandes suivantes:

# losetup /dev/loop0 /path/to/IPCop/iso

dans laquelle /path/to/IPCop/iso est le chemin vers le fichier iso d'IPCop. Un lien estcréé entre un périphérique « loop back » et le fichier ISO d'IPCop.

# mount -r -t iso9660 /dev/loop0 /mnt/cdrom

qui mounte le périphérique loop back dans un répertoire du système de fichiers *nix. Le contenu del'image du CD-ROM est alors accessible dans le répertoire /mnt/cdrom. REMARQUE : sur laplupart des systèmes vous devez disposer des droits de l'utilisateur root ou utiliser la commande su-do pour être autorisé à monter un système de fichiers.

Windows

Il existe plusieurs programmes, tels que ISOBuster et WinImage, disponibles sur Internet permettantd'ouvrir et manipuler des images ISO. Récupérez l'un d'eux et suivez les instructions fournies avecpour ouvrir le fichier ISO d'IPCop.

Macintosh

Sur Macintosh OS X, l'utilitaire Apple's Disk Copy permet d'ouvrir une image ISO. Il n'existe appa-remment pas d'utilitaire gratuit ou du domaine public pouvant ouvrir les images ISO d'IPCop sur unsystème Mac antérieur à OS X. Cependant, nombreux sont les programmes commerciaux de gravure


7

de CD-ROM qui disposent de cette fonctionnalité. Si vous possédez un graveur de CD, vérifiez si leprogramme l'accompagnant peut le faire.

Création des disquettes à partir de leurs imagesSi votre futur PC IPCop dispose d'un CD-ROM mais que son BIOS ne permet pas de démarrer d'unCD-ROM, vous devrez créer une disquette de démarrage. Si il ne possède pas de lecteur de CD-ROM, vous devrez créer une disquette de démarrage et une disquette de pilotes de périphériques.Les images de ces deux disquettes se trouvent dans le répertoire /images de l'image ISO.

Création des disquettes sous *nix et Macintosh OS X

Sous les systèmes Linux, Unix et Macintosh OS X, la création des disquettes peut se faire depuis laligne de commande à l'aide de la commande dd :

# dd if=/mnt/cdrom/images/boot-1.4.0.img of=/dev/fd0 bs=1k count=1440

Utilisez la même commande en faisant pointer le paramètre if= sur l'image de la disquette des pi-lotes de périphériques si cette dernière est nécessaire.

Création des disquettes sous Windows

Deux utilitaires sont fournis dans le répertoire /dosutils de l'image ISO et du CD. Il s'agit derawrite.exe et rawwritewin.exe. rawrite.exe est un outil DOS en ligne de com-mande vous permettant de créer les disquettes à partir des fichiers .img présents dans le répertoire/images. De même, rawwritewin.exe est un exécutable windows que vous pouvez lancersous Windows pour créer ces disquettes à partir des mêmes images présentes sur le CD.

Mettre à disposition le fichier d'installationCette mise à disposition n'est nécessaire que si vous envisagez d'installer à partir d'une disquettebootable et d'un serveur FTP/Web. Vous trouverez dans le répertoire racine / de l'image ISO ou duCD un fichier nommé ipcop-1.4.0.tgz. Ce fichier contient une image compressée du disquedur d'une machine IPCop. Copiez ce fichier sur la machine qui hébergera le serveur Web ou FTP.Placez-le dans un endroit accessible par le serveur. Pendant l'installation, IPCop interrogera anony-mement le serveur Web ou FTP. La plupart des serveurs ne permettent pas à un utilisateur anonymed'accéder à un fichier en dehors de l'arborescence gérée par le serveur. Même si un répertoire appa-raît au plus haut de l'arborescence du serveur, tel que le répertoire /pub , il se trouve quelque partailleurs dans le système de fichiers de la machine, comme par exemple /anonftp/pub.

Si votre PC IPCop dispose de disque dur SCSI, vous devrez de la même façon rendre accessible lefichier scsidrv-1.4.0.img se trouvant dans le répertoire /images de l'image ISO.

Si c'est la première fois que vous établissez un réseau privé, changez l'adresse IP de la machine fai-sant office de serveur pour qu'elle appartienne au réseau privé VERT et qu'elle soit fixe. Ce change-ment n'est nécessaire que pour la durée de l'installation.

Si votre machine serveur est connectée à l'Internet, débranchez cette connexion et connectez physi-quement ensemble votre PC IPCop et vos autres machines. Reportez-vous à l'annexe A, pour uneprésentation rapide des réseaux informatiques. Si vous souhaitez utiliser l'adresse 192.168.1.1 pourla machine IPCop, 192.168.1.2 est une bonne adresse pour le serveur. Assignez au moins temporai-rement une adresse IP statique au serveur. Un redémarrage des PC Windows est nécessaire à chaquemodification de leur adresse IP.

Assurez-vous que le fichier d'installation d'IPCop est accessible par la commande FTP ou bien parun navigateur, même si vous devez faire cela depuis la machine serveur elle-même. Vous pouvezannuler le téléchargement du fichier ou fermer votre navigateur lorsque vous êtes sûr que le serveurrépond correctement.


8

Chapitre 2. Lancement del'installation d'IPCop

Vous êtes maintenant prêt à installer IPCop.

Attention

Rappellez-vous qu'installer IPCop sur une machine effacera le contenu du disque dur.

Même si les étapes sont très similaires, chaque méthode d'installation d'IPCop est traitée séparé-ment. Si vous avez un doute sur la méthode à choisir, retournez au chapitre précédent.

Installation depuis un CD bootable ou depuisune disquette bootable et le CD

Placez le CD IPCop dans le lecteur de CD du PC IPCop. Si nécessaire, insérez la disquette de dé-marrage d'IPCop dans le lecteur de disquette. Pressez le bouton reset pour redémarrer l'ordinateur.Si le PC IPCop ne démarre pas, vérifiez les paramètres de démarrage du BIOS.

Rapidement, l'écran représenté ci-dessous apparaît. Si ce n'est pas le cas, vérifiez que le moniteur estbien branché à la carte vidéo de la machine cible et qu'il est bien allumé, que l'ordinateur a bien dé-marré depuis le lecteur de CD ou le lecteur de disquette.

Cet écran vous avertit de la prochaine destruction des données du disque dur de la machine si vouspoursuivez l'installation.

Vous pouvez presser ici la touche Entrée, ou choisir l'une des trois options d'installation« nopcmcia », « nousb » ou « nousborpcmcia ». Ces options d'installation réduisent les types de pé-riphériques que le processus d'installation d'IPCop tente de détecter. N'utilisez ces options que dansle cas où l'installation standard échoue lors de l'identification des périphériques USB ou PCMCIAprésents sur la machine cible. Vous avez également la possibilité d'éjecter le support de démarraged'IPCop et relancer la machine pour annuler l'installation.

9

Lors du démarrage, beaucoup de messages informatifs venant du noyau défilent à l'écran.

Vous n'avez pas à vous soucier de ces messages à moins qu'un problème dû au matériel ne sur-vienne. Dans ce cas, la séquence de démarrage s'arrête.

Après quelques secondes, l'écran permettant de sélectionner la langue pour les boîtes de dialogue dela procédure d'installation est affiché.

Actuellement, IPCop est disponible dans les langues suivantes en plus du français : le portugais bré-silien, le tchèque, le danois, l'allemand, le grec, l'anglais, l'espagnol, le hongrois, l'italien, l'espagnold'Amérique Latine (latino), le hollandais, le norvégien, le portugais, le finnois, le suèdois et le turc.

Remarque : sur cet écran comme sur tous les autres durant l'installation, la souris n'est pas active.Pour déplacer le curseur sur les éléments à l'écran, utilisez la touche Tab ainsi que les touches flè-chées. Pour sélectionner un élément, pressez la touche Espace. Pour accepter le choix d'une langue,pressez la touche Entrée.

À partir de là, toutes les boîtes de dialogue, les menus et les pages web utilisent la langue choisie.

Lancement de l'installation d'IPCop

10

Cet écran vous indique comment abandonner l'installation d'IPCop : « Sélectionner Annuler sur l'undes écrans suivants redémarrera votre ordinateur. »

La boîte de dialogue ci-dessus vous permet de sélectionner le support d'installation. Dans la mesureoù vous souhaitez installer depuis le CD-ROM, sélectionnez la ligne CDROM, utilisez la touche detabulation jusqu'au bouton Ok et pressez la touche Entrée pour valider ce choix.


11

Il s'agit là du dernier avertissement avant l'effacement des données du disque dur.

Après avoir sélectionné le bouton Ok de cet écran et validé par la touche Entrée, le disque dur de lamachine sera effacé. Pour stopper l'installation et ainsi éviter la perte des données présentes sur ledisque, sélectionnez plutôt le bouton Annuler et validez ce choix en pressant la touche Entrée.

IPCop va maintenant partitionner et formatter votre disque dur. À la suite de quoi il installera sur cedisque les fichiers nécessaires.


12

À ce moment, vous avez la possibilité de restaurer les fichiers de configuration d'IPCop depuis unedisquette de sauvegarde.

Pour effectuer cette restauration, insérez la disquette de sauvegarde dans le lecteur de disquette etsélectionnez le bouton Restaurer avant de presser la touche Entrée. Sinon, sélectionnez le boutonPasser et pressez la touche Entrée pour valider.

Si vous souhaitez restaurer la configuration de votre IPCop à l'aide d'une sauvegarde provenantd'une version 1.2.0 ou postérieure, insérez la disquette de sauvegarde dans le lecteur. Cette fonction-nalité sert également à remettre rapidement sur pieds une installation d'IPCop endommagée. Dansles faits, après avoir adapté IPCop à vos besoins, il vous est possible de faire très simplement unesauvegarde de cette configuration depuis l'interface web d'administration. En cas de problème survotre installation, réinstallez IPCop en suivant la même procédure que la première fois et à ce mo-ment de l'installation, insérez la disquette de sauvegarde, sélectionnez le bouton Restaurer de cetteboîte de dialogue. Votre précédente configuration d'IPCop est alors restaurée.

En choisissant de restaurer une configuration depuis une disquette, vous n'aurez à renseigner aucuneautre boîte de dialogue.

L'installation d'IPCop se poursuit avec la configuration de la carte réseau de l'interface VERTE(réseau local). Vous pouvez laisser IPCop trouver votre carte réseau et déterminer les paramètres àdonner au pilote de périphérique. Sélectionnez le bouton Rechercher et pressez la touche Entréepour laisser IPCop détecter votre configuration matérielle. Sélectionnez le bouton Sélectionner etpressez la touche Entrée pour choisir manuellement une carte réseau et éventuellement spécifier desparamètres. Ces paramétres correspondent aux données récoltées précédemment à l'aide de la dis-quette fournie par le fabricant ou bien directement sur son site web.


13

Si vous choisissez le bouton Sélectionner, l'écran suivant apparaît.

Sélectionnez dans la liste votre carte Ethernet à utiliser pour le réseau VERT.

Si vous sélectionnez MANUEL, l'écran suivant apparaît. Entrez le nom du module pouvant prendreen charge votre carte. Vous aurez peut être à indiquer des paramètres additionnels pour ce module.Malheureusement, ces paramètres dépendent du pilote. L'exemple ci-dessous correspond au charge-ment du pilote de périphérique pour les cartes de type NE 2000. Comme la plupart des pilotes decartes au format ISA, l'adresse E/S et l'interruption utilisées par la carte doivent être spécifiées, res-pectivement à l'aide des paramètres io= et irq=.

Note

À ce moment de l'installation le clavier n'est pas reconnu comme une clavier à dispositionfrançaise des touches mais un clavier à disposition « qwerty ».


14

Si vous choisissez le bouton Rechercher sur l'écran de configuration réseau, l'écran suivant apparaît :

Le nom du fabricant de votre carte réseau peut ne pas apparaître dans cette liste. En effet, IPCopidentifie les cartes réseau par le nom du fabricant du composant utilisé par la carte, fabricant quipeut être différent de celui de la carte. Ceci peut être ignoré.


15

Le processus d'installation vous demande d'indiquer l'adresse IP à assigner à l'interface VERT.

Vous devez indiquer ici une des adresses du réseau traité précédemment dans la section Choisir lesplages d'adresses de vos réseaux locaux. En général, cette adresse du réseau VERT se termine parun 1, comme 192.168.1.1, ou par 254, comme 192.168.1.254. Mais n'importe quelle adresse du ré-seau VERT peut être utilisée. IPCop va automatiquement déterminer le masque de réseau en fonc-tion de cette adresse IP mais il est possible de le modifier s'il ne vous convient pas.

Cet écran indique la fin de l'installation d'IPCop sur votre machine.

Les composants d'IPCop ont été installés sur votre disque dur. Retirez le CD IPCop du lecteur deCD et, si elle est présente, la disquette de démarrage du lecteur de disquette. Sélectionnez le boutonOk pour continuer.

Si vous avez choisi de restaurer une configuration depuis une disquette, l'installation est terminée etl'ordinateur va redémarrer.

Dans le cas contraire, la suite de la préparation de la machine est identique quelle que soit la tech-nique de démarrage employée. Suivez alors les instructions du chapitre suivant concernant la confi-guration initiale d'IPCop.


16

Installation à l'aide d'une disquette et d'unserveur Web ou FTP

Placez le CD IPCop dans le lecteur de CD du PC IPCop. Si nécessaire, insérez la disquette de dé-marrage d'IPCop dans le lecteur de disquette. Pressez le bouton reset pour redémarrer l'ordinateur.Si le PC IPCop ne démarre pas, vérifiez les paramètres de démarrage du BIOS.

Rapidement, l'écran représenté ci-dessous apparaît. Si ce n'est pas le cas, vérifiez que le moniteur estbien branché à la carte vidéo de la machine cible et qu'il est bien allumé, que l'ordinateur a bien dé-marré depuis le lecteur de CD ou le lecteur de disquette.

Cet écran vous avertit de la prochaine destruction des données du disque dur de la machine si vouspoursuivez l'installation.

Vous pouvez presser ici la touche Entrée, ou choisir l'une des trois options d'installation« nopcmcia », « nousb » ou « nousborpcmcia ». Ces options d'installation réduisent les types de pé-riphériques que le processus d'installation d'IPCop tente de détecter. N'utilisez ces options que dansle cas où l'installation standard échoue lors de l'identification des périphériques USB ou PCMCIAprésents sur la machine cible. Vous avez également la possibilité d'éjecter le support de démarraged'IPCop et relancer la machine pour annuler l'installation.


17

Lors du démarrage, beaucoup de messages informatifs venant du noyau défilent à l'écran.

Vous n'avez pas à vous soucier de ces messages à moins qu'un problème dû au matériel ne sur-vienne. Dans ce cas, la séquence de démarrage s'arrête.

Après quelques secondes, l'écran permettant de sélectionner la langue pour les boîtes de dialogue dela procédure d'installation est affiché.

Actuellement, IPCop est disponible dans les langues suivantes en plus du français : le portugais bré-silien, le tchèque, le danois, l'allemand, le grec, l'anglais, l'espagnol, le hongrois, l'italien, l'espagnold'Amérique Latine (latino), le hollandais, le norvégien, le portugais, le finnois, le suèdois et le turc.

Remarque : sur cet écran comme sur tous les autres durant l'installation, la souris n'est pas active.Pour déplacer le curseur sur les éléments à l'écran, utilisez la touche Tab ainsi que les touches flè-chées. Pour sélectionner un élément, pressez la touche Espace. Pour accepter le choix d'une langue,pressez la touche Entrée.

À partir de là, toutes les boîtes de dialogue, les menus et les pages web utilisent la langue choisie.


18

Cet écran vous indique comment abandonner l'installation d'IPCop : « Sélectionner Annuler sur l'undes écrans suivants redémarrera votre ordinateur. »

Cette boîte de dialogue vous permet de choisir le support d'installation. Dans la mesure où vous sou-haitez installer depuis un serveur HTTP, sélectionnez la ligne HTTP, utilisez la touche de tabulationjusqu'au bouton Ok et pressez la touche Entrée pour valider ce choix.


19

IPCop vous demande de remplacer la disquette de démarrage par la disquette de pilotes de périphé-riques créée précédemment.

Éjectez la disquette de démarrage et insérez la disquette de pilotes. Validez ensuite par le boutonOk.

L'installation d'IPCop se poursuit avec la configuration de la carte réseau de l'interface VERTE(réseau local). Vous pouvez laisser IPCop trouver votre carte réseau et déterminer les paramètres àdonner au pilote de périphérique. Sélectionnez le bouton Rechercher et pressez la touche Entréepour laisser IPCop détecter votre configuration matérielle. Sélectionnez le bouton Sélectionner etpressez la touche Entrée pour choisir manuellement une carte réseau et éventuellement spécifier desparamètres. Ces paramétres correspondent aux données récoltées précédemment à l'aide de la dis-quette fournie par le fabricant ou bien directement sur son site web.

Si vous choisissez le bouton Sélectionner, l'écran suivant apparaît.


20

Sélectionnez dans la liste votre carte Ethernet à utiliser pour le réseau VERT.

Si vous sélectionnez MANUEL, l'écran suivant apparaît. Entrez le nom du module pouvant prendreen charge votre carte. Vous aurez peut être à indiquer des paramètres additionnels pour ce module.Malheureusement, ces paramètres dépendent du pilote. L'exemple ci-dessous correspond au charge-ment du pilote de périphérique pour les cartes de type NE 2000. Comme la plupart des pilotes decartes au format ISA, l'adresse E/S et l'interruption utilisées par la carte doivent être spécifiées, res-pectivement à l'aide des paramètres io= et irq=.

Note

À ce moment de l'installation le clavier n'est pas reconnu comme une clavier à dispositionfrançaise des touches mais un clavier à disposition « qwerty ».

Si vous choisissez le bouton Rechercher sur l'écran de configuration réseau, l'écran suivant apparaît :


21

Le nom du fabricant de votre carte réseau peut ne pas apparaître dans cette liste. En effet, IPCopidentifie les cartes réseau par le nom du fabricant du composant utilisé par la carte, fabricant quipeut être différent de celui de la carte. Ceci peut être ignoré.

Le processus d'installation vous demande d'indiquer l'adresse IP à assigner à l'interface VERT.

Vous devez indiquer ici une des adresses du réseau traité précédemment dans la section Choisir lesplages d'adresses de vos réseaux locaux. En général, cette adresse du réseau VERT se termine parun 1, comme 192.168.1.1, ou par 254, comme 192.168.1.254. Mais n'importe quelle adresse du ré-seau VERT peut être utilisée. IPCop va automatiquement déterminer le masque de réseau en fonc-tion de cette adresse IP mais il est possible de le modifier s'il ne vous convient pas.

Ce réseau est utilisé par la suite pour localiser et récupérer les fichiers nécessaires à l'installationd'IPCop depuis le serveur web ou FTP.


22

Le processus d'aide à l'installation d'IPCop vous demande l'URL d'accès au répertoire contenant lesfichiers ipcop-1.4.0.tgz et scsidrv-1.4.0.img, fichiers que vous avez préalablementplacés sur le serveur web ou FTP.

Tapez ftp ou http selon la nature du serveur, suivi de l'adresse IP de ce serveur. Par exemple :ftp://192.168.1.2/pub/. N'oubliez pas d'ajouter le nom du répertoire mais pas celui du fichier. Assu-rez-vous donc que l'URL se termine bien par le caractère « / ».

Note

À ce moment de l'installation le clavier n'est pas reconnu comme une clavier à dispositionfrançaise des touches mais un clavier à disposition « qwerty ». Le caractère '/' s'obtientalors par la touche ! et le caractère ':' par la combinaison Shift-M.

Il s'agit là du dernier avertissement avant l'effacement des données du disque dur.

Après avoir sélectionné le bouton Ok de cet écran et validé par la touche Entrée, le disque dur de lamachine sera effacé. Pour stopper l'installation et ainsi éviter la perte des données présentes sur ledisque, sélectionnez plutôt le bouton Annuler et validez ce choix en pressant la touche Entrée.


23

ftp://192.168.1.2/pub/

IPCop va maintenant partitionner et formatter votre disque dur. À la suite de quoi il installera sur cedisque les fichiers nécessaires.

À ce moment, vous avez la possibilité de restaurer les fichiers de configuration d'IPCop depuis unedisquette de sauvegarde.

Pour effectuer cette restauration, insérez la disquette de sauvegarde dans le lecteur de disquette etsélectionnez le bouton Restaurer avant de presser la touche Entrée. Sinon, sélectionnez le boutonPasser et pressez la touche Entrée pour valider.

Si vous souhaitez restaurer la configuration de votre IPCop à l'aide d'une sauvegarde provenantd'une version 1.2.0 ou postérieure, insérez la disquette de sauvegarde dans le lecteur. Cette fonction-nalité sert également à remettre rapidement sur pieds une installation d'IPCop endommagée. Dansles faits, après avoir adapté IPCop à vos besoins, il vous est possible de faire très simplement unesauvegarde de cette configuration depuis l'interface web d'administration. En cas de problème survotre installation, réinstallez IPCop en suivant la même procédure que la première fois et à ce mo-ment de l'installation, insérez la disquette de sauvegarde, sélectionnez le bouton Restaurer de cetteboîte de dialogue. Votre précédente configuration d'IPCop est alors restaurée.


24

En choisissant de restaurer une configuration depuis une disquette, vous n'aurez à renseigner aucuneautre boîte de dialogue.

Cet écran indique la fin de l'installation d'IPCop sur votre machine.

Les composants d'IPCop ont été installés sur votre disque dur. Retirez la disquette de démarrage dulecteur de disquette. Sélectionnez le bouton Ok pour continuer.

Si vous avez choisi de restaurer une configuration depuis une disquette, l'installation est terminée etl'ordinateur va redémarrer.

Dans le cas contraire, la suite de la préparation de la machine est identique quelle que soit la tech-nique de démarrage employée. Suivez alors les instructions du chapitre suivant concernant la confi-guration initiale d'IPCop.


25

Chapitre 3. Configuration initialeQuelle que soit la méthode suivie, l'installation se poursuit avec la mise en place d'une configurationinitiale du système.

Avertissement

Si vous terminez cette procédure avant d'avoir assigné un mot de passe à l'utilisateur root,vous n'aurez par la suite pas la possibilité de vous identifier pour terminer cette configura-tion. Cependant il vous est toujours possible de redémarrer votre machine dans ce quis'appele le mode « single user » pour ajouter un mot de passe à l'utilisateur root. Voyez à cesujet la section Oubli/perte du mot de passe root de ce manuel.

Au redémarrage, identifiez-vous comme utilisateur « root » et lancez la commande setup.Vous pourrez alors vérifier et modifier tous les paramètres de configuration de votre IPCopen visitant chaque élément du menu affiché.

Le premier écran vous permet de configurer votre clavier.

26

L'écran suivant vous demande d'indiquer le fuseau horaire dans lequel vous vous situez.

Certaines personnes conservent Londres ou UTC comme fuseau horaire pour la machine. Cela per-met de laisser l'horloge matérielle de votre IPCop à l'heure locale. Il y a cependant quelques incon-vénients à suivre cette méthode :

• vous ne pourrez pas utiliser un serveur de temps pour étalonner précisément l'horloge de votrePC, service qui se lance depuis la page web d'administration de l'heure[http://www.ipcop.org/1.4.0/fr/admin/html/system.html#time].

• dans le cas de zones avec heure d'été et heure d'hiver, vous devrez vous souvenir qu'il vous fautmodifier par vous-même l'horloge de votre PC IPCop. À l'inverse, si vous sélectionnez le fuseauhoraire correct, le changement d'heure est automatique.

Vous devez ensuite donner un nom d'hôte à votre machine IPCop.

La valeur proposée par défaut, « ipcop », convient bien. Vous voudrez peut être choisir un autrenom si vous envisagez de mettre en place un VPN et si vous envisagez d'administrer vos machines àtravers ce VPN. Auquel cas vous pouvez donner à chaque machine IPCop un nom d'hôte unique telque « ipcop1 », « ipcop2 », « millie », « steve », « bob », etc.

Configuration initiale

27

http://www.ipcop.org/1.4.0/fr/admin/html/system.html#time

Vous devez maintenant donner un nom de domaine à votre machine IPCop.

Si vous possédez un nom de domaine, indiquez-le ici. Si vous n'en possédez pas ou si vous ne sou-haitez pas l'utiliser, vous pouvez très bien accepter la valeur par défaut, « localdomain ». Si vous en-visagez de mettre en place un VPN, vous pourrez préfixer « localdomain » pour produire parexemple « x.localdomain » et « y.localdomain ».

Donner ici votre véritable nom de domaine peut s'avérer être une mauvaise idée à moins que vousn'utilisiez votre serveur de nom personnel plutôt que le serveur de nom proposé par IPCop.

Ce nom de domaine sera automatiquement utilisé comme « suffixe de nom de domaine » du serveurDHCP. Reportez-vous au paragraphe concernant le serveur DHCP pour de plus amples informa-tions.

La configuration d'IPCop se poursuit avec l'activation et la configuration de l'ISDN.

L'écran suivant marque le début d'une série de boîtes de dialogue vous permettant de faire prendreen compte votre carte ISDN. Si vous n'avez pas de carte ISDN, sélectionnez le bouton DésactiverISDN, et la configuration initiale se poursuivra avec la configuration réseau.


28

Si vous possédez un modem ISDN, remplissez les champs protocole et pays.

Après avoir indiqué le protocole et le pays, vous pourrez avoir à fournir des paramètres supplémen-taires au pilote de votre carte, en particulier s'il s'agit d'une carte ISA. Si tel est le cas, choisissez Dé-finition des paramètres additionnels du module.


29

Vous devez alors sélectionner le type de votre carte ISDN.

IPCop déterminera automatiquement le type de la carte si vous choisissez AUTODETECT. En casd'échec, vous pourrez toujours le sélectionner manuellement dans la liste proposée.

La dernière étape de la configuration de la carte ISDN vous demande d'indiquer le numéro de télé-phone local.


30

Maintenant, vous devez configurer les interfaces réseaux de votre machine. Le Menu de configura-tion réseau vous guidera au travers de plusieurs étapes vous permettant de les faire reconnaître parIPCop.

Comme indiqué précédemment, quatre interfaces réseaux sont disponibles sur IPCop : ROUGE,VERTE, BLEUE et ORANGE.

L'interface ROUGE est reliée au réseau considéré hostile et peut être de type Ethernet, modemISDN, modem analogique ou bien encore modem ADSL USB. Cette boîte de dialogue vous permetde choisir le type de configuration réseau qui convient à votre installation.

Lorsque vous sélectionnez le bouton Ok, vous êtes renvoyé vers le Menu de configuration réseaudécrit précédemment. Utilisez la touche de tabulation pour vous déplacer jusqu'à la ligne Affectationdes pilotes et des cartes et pressez la touche Entrée.

Si vous souhaitez avoir un réseau ORANGE et/ou un réseau BLEU, reprenez, pour chaque réseau,les étapes de sélection du pilote de périphérique que vous avez suivies pour la configuration del'interface VERTE. Si votre interface ROUGE utilise une connexion Ethernet, configurez égalementsa carte réseau.


31

En revanche, si votre interface ROUGE n'utilise pas une connexion de type Ethernet, passez directe-ment au paragraphe concernant le paramétrage d'interfaces réseaux additionnelles.

Après avoir configuré votre carte Ethernet et spécifié les pilotes de périphériques des autres inter-faces, retournez au Menu de configuration réseau en choisissant le bouton Continuer.

Configuration des adresses des autres réseaux.

Enfin, si votre réseau ROUGE est de type Ethernet, vous devez indiquer la manière par laquellel'interface obtient son adresse IP. Ceci dépend de votre FAI et du type de connexion.

L'adressage statique est utilisé lorsque votre FAI vous fournit une adresse IP fixe. Saississez-la dansle champ d'adresse IP de la boîte de dialogue. IPCop déterminera automatiquement le masque de ré-seau. Vous pouvez toujours modifier ce masque si nécessaire.

Votre réseau ROUGE doit posséder une adresse IP statique si vous envisagez d'utiliser la fonction-nalité d'aliasing proposée par IPCop.

DHCP correspond au cas où votre FAI vous indique que vous devez utiliser un adressage automa-tique.

La connexion à certains FAI nécessite d'indiquer un nom d'hôte à leur serveur DHCP. Ce n'est trèsprobablement pas le nom d'hôte de votre IPCop. Si ce nom d'hôte est nécessaire, vous pouvez éven-tuellement utiliser la première partie du nom de domaine pleinement qualifié que vous avez relevéprécédemment lors de la récupération des paramètres réseaux.

Si votre connexion se fait par PPPOE, votre FAI fournira toutes les informations nécessaires à laconnexion de sorte que vous n'avez rien à spécifier de plus après avoir sélectionné cette méthode deconnexion.

Si votre connexion se fait par PPTP, vous devez indiquer l'adresse IP du réseau ROUGE ainsi que lemasque de réseau, tout comme dans le cas d'un adressage statique. Cette adresse est très fréquem-ment 10.0.0.150 avec le masque réseau 255.255.255.0.

Vous voudrez peut être également configurer une interface ORANGE ou BLEUE. La procédure estidentique à celle que vous avez suivie lors de la configuration de l'interface VERTE. Les adresses deces interfaces doivent appartenir à des réseaux différents, par exemple 192.168.1.1, 192.168.2.1 et192.168.3.1.

Vous pouvez même à ce moment revoir la configuration de votre interface VERTE en la sélection-nant depuis la liste des interfaces.


32

Quand vous en avez terminé, choisissez le bouton Ok pour revenir au Menu de configuration réseau.

Configuration des serveurs DNS et des passerelles.

Le choix suivant dans le Menu de configuration réseau vous permet d'indiquer les adresses des ser-veurs DNS de votre FAI et l'adresse de la passerelle par défaut. Vous n'avez à renseigner ceschamps que si vous utilisez une adresse IP statique sur votre interface ROUGE.

Avertissement

Si vous paramétrez votre IPCop pour une adresse IP statique sur l'interface ROUGE, vousdevez indiquer les serveurs DNS et la passerelle par défaut dans cette boîte de dialogue. Sipar la suite vous changez la méthode d'obtention de l'adresse IP de l'interface ROUGE, lesserveurs indiqués sur cet écran remplaceront les serveurs fournis par votre FAI. D'un côté,c'est une façon simple d'imposer ces paramètres. D'un autre côté, c'est une source de confu-sion. Rappellez-vous bien d'effacer ces valeurs s'il vous arrivait de changer de moded'adressage pour l'interface ROUGE.

Vous pouvez maintenant configurer le serveur DHCP d'IPCop si vous voulez l'utiliser. Dans le cas


33

contraire, n'activez pas le serveur et poursuivez avec la sélection des mots de passe, ci-dessous.

Le protocole DHCP (Dynamic Host Configuration Protocol) permet à chaque ordinateur clientd'obtenir au démarrage les paramètres de configuration de leur interface pour s'intégrer au réseau.

Vous pouvez retarder la configuration du serveur DHCP d'IPCop et y revenir à la fin del'installation. Voyez le Manuel d'Administration[http://www.ipcop.org/1.4.0/fr/admin/html/services.html#services_dhcp] pour une description de laconfiguration du serveur DHCP par l'interface web.

Vous devez cocher la case Activé pour activer le serveur DHCP.

Les champs Adresse de départ et Adresse de fin définissent une plage d'adresses que le serveurDHCP pourra attribuer aux ordinateurs clients qui en font la demande. N'utilisez pas toute la plaged'adresses disponibles sur votre réseau pour DHCP. Vous devez au moins exclure l'adresse de votreIPCop de cette plage. Vous voudrez peut être, à un moment ou à un autre, placer sur votre réseau unou plusieurs serveurs accessibles uniquement depuis votre réseau VERT. Qu'il s'agisse d'un serveurFTP, d'un serveur web, d'un serveur sendmail ou de tout autre serveur nécessitant une adresse IPpermanente. Ces serveurs doivent se voir assigner des adresses IP fixes hors de la plage d'adressesdynamiques DHCP. Les adresses limites d'une bonne plage peuvent par exemple être 192.168.1.200et 192.168.1.250. Ce qui vous permet d'avoir jusqu'à 51 ordinateurs connectés en même temps survotre réseau VERT.

DHCP va également indiquer un ou deux serveurs DNS que le client devra utiliser en plus del'adresse IP. Si vous souhaitez utiliser le serveur DNS mandataire d'IPCop, le premier de ces ser-veurs doit correspondre à votre IPCop. Vous pouvez éventuellement donner l'adresse d'un secondserveur DNS. Si vous ne souhaitez pas utiliser le serveur DNS mandataire d'IPCop et que vous utili-sez une adresse IP statique comme adresse de l'interface ROUGE, indiquez le même serveur DNSque lors de la configuration de l'interface ROUGE.

DHCP fonctionne en distribuant des baux d'adresses dynamiques qui expirent à la fin d'un certaindélai. Le champ Bail par défaut indique la durée en minutes du bail autorisé par défaut par le ser-veur. Au bout de ce temps, l'ordinateur client devra demander à renouveller son bail pour l'adressequ'il a précédemment obtenue. Lorsque la durée Bail maximum est dépassée, l'ordinateur client nepeut plus demander à réutiliser cette adresse, mais le serveur peut toujours lui assigner un nouveaubail sur l'adresse obtenue.

Enfin, le champ Suffixe de nom de domaine vous permet de spécifier un suffixe ajouté automatique-ment aux requêtes DNS si le nom initial n'est pas trouvé. Ce suffixe prend par défaut le nom de do-maine que vous avez indiqué précédemment. Nombreux sont les FAI qui utilisent un suffixe de nomde domaine et demandent à leurs abonnés d'entrer seulement « mail », « news », ou « www » pouraccéder à ces services. Ce qui se passe réellement, sous le capot, c'est qu'une requête DNS estd'abord envoyée pour « mail ». Lorsque le serveur DNS répond qu'il ne connaît pas d'adresse IPpour mail, une nouvelle requête est envoyée avec le suffixe de nom de domaine ajouté, ce qui donnepar exemple « mail.xxx.yyy.zzz.com ». Pour vous simplifier la vie, vous pouvez indiquer ici ce suf-fixe.

Malheureusement, certains suffixes de nom de domaine sont trop longs pour être saisis dans cechamp. Voyez alors le Manuel d'Administration[http://www.ipcop.org/1.4.0/fr/admin/html/services.html#services_dhcp] pour connaître une autremanière de spécifier ce suffixe sans limitation de longueur.

Lorsque vous en avez terminé avec le paramétrage du serveur DHCP, choisissez le bouton Ok.


34

http://www.ipcop.org/1.4.0/fr/admin/html/services.html#services_dhcp

http://www.ipcop.org/1.4.0/fr/admin/html/services.html#services_dhcp

L'étape suivante consiste à renseigner les mots de passe de l'utilisateur root et de l'administrateurweb.

Si vous êtes un habitué des systèmes Linux, vous voudrez sans doute vous identifier sur la machineIPCop pour les opérations de maintenance. Le seul utilisateur disponible est « root ». Entrez deuxfois le mot de passe de root. Comprenez bien que l'utilisateur root du système détient les « clefs duroyaume » sur votre pare-feu. Si quelqu'un de mal intentionné venait à se procurer ce mot de passe,il pourrait faire toutes sortes de dégâts sur la machine. Toutefois, par défaut, l'utilisateur root n'estautorisé à se connecter à la machine que par la console.

Vous noterez que le curseur ne bouge pas lorsque vous tapez le mot de passe. Il est néanmoins bienpris en compte.

Pour finir, le processus de configuration vous demande de donner un mot de passe à l'utilisateur webadmin.

Cet identifiant et ce mot de passe vous seront demandés lors de l'accès aux pages webd'administration d'IPCop. Les navigateurs web ne gèrent pas toujours correctement les caractèresspéciaux dans les mots de passe. Donc, à la différence du mot de passe de l'utilisateur root, il est re-commandé de ne composer celui d'admin que de caractères alphanumériques minuscules.


35

Félicitations !

L'installation de votre IPCop est maintenant terminée. Pressez le bouton Ok pour redémarrer. Au re-démarrage de la machine, vous devrez très certainement parfaire le paramétrage de votre IPCop de-puis l'interface web d'administration. Pour une description complète de l'administration d'IPCop, re-portez-vous au Manuel d'Administration [http://www.ipcop.org/1.4.0/fr/admin/html/].


36

http://www.ipcop.org/1.4.0/fr/admin/html/

Chapitre 4. Après l'installationSélection du noyau

IPCop utilise le lanceur GRUB pour vous proposer un certain nombre de configurations du noyauLinux. Lors du démarrage, l'écran GRUB de sélection s'affiche.

Écran GRUB de sélection du noyau.

Vous disposez de cinq secondes pour stopper le lancement de la configuration par défaut en tapantsur une touche. Si vous ne choisissez pas de configuration, la machine démarre avec la configurationpar défaut, c'est à dire celle nommée IPCop. Utilisez les touches flêchées pour choisir une autreconfiguration du noyau parmi celles proposées.

Avant de sélectionner une autre configuration, assurez-vous qu'elle est adaptée aux possibilités devotre machine.

Configuration de secours

La configuration IPCop est une configuration universelle ou configuration de secours. Sivous rencontrez un problème dans le fonctionnement d'IPCop avec un autre choix, revenezà cette configuration de secours.

GRUB est paramètré de sorte que le choix est conservé d'un redémarrage à l'autre. En d'autrestermes, GRUB lancera toujours la dernière configuration choisie jusqu'à ce que vous la changiezvous-même à l'aide des touches flêchées.

Quatre configurations de noyau sont disponibles :

IPCop Cette configuration noyau convient aux machines à pro-

37

cesseur unique dont la carte mère ne supporte pas l'ACPI(Advanced Configuration and Power Interface), voyez plusbas la discussion sur l'ACPI. Elle est la plus simple detoutes les configurations et devrait convenir à toutes lesmachines, y compris celles supportant les autres configura-tions.

IPCop SMP Cette configuration noyau convient aux cartes mères dis-posant de plus d'un processeur (SMP signifie SymetricMultiProcessing). Choisissez cette configuration si votrecarte mère possède plus d'un processeur. Si votre proces-seur dispose de l'hyperthreading vous utilisez plutôt laconfiguration ACPI HT kernel.

IPCop (ACPI enabled) L'ACPI, ou Advanced Control and Power Interface, per-met à IPCop de surveiller certains paramètres de votre ma-tériel tels que la qualité de l'alimentation et la températuredu processeur. En cas de nécessité, votre IPCop éteindra lamachine sur laquelle il tourne pour protéger votre proces-seur et/ou votre carte mère. Pour cela, vous devez disposerd'une carte mère intégrant un composant de gestion del'ACPI et un BIOS supportant l'ACPI. Vous devez égale-ment sélectionner la configuration noyau « IPCop ( ACPIenabled ) ». Reportez-vous à la documentation de votrecarte mère ou de votre ordinateur pour savoir si vous pou-vez bénéficier de l'ACPI. Éventuellement, essayez de dé-marrer l'un des noyaux supportant l'ACPI et vérifiez la re-connaissance de l'ACPI par IPCop en vous identifiant enutilisateur root puis en lançant la commande :

# dmesg|grep ^ACPI:

Vérifiez dans la sortie de cette commande que l'ACPI n'apas levé d'erreur. Si une erreur apparaît, redémarrez la ma-chine et sélectionnez une autre configuration noyau.

IPCop SMP (ACPI HT enabled) Cette configuration du noyau supporte les processeurs dis-posant de l'hyperthreading, HT, SMP et de l'ACPI. Cer-tains processeurs Intel supportent l'hyperthreading qui esttraité comme une configuration SMP, multi-processeurs.

Une fois trouvée la bonne configuration du noyau, pressez la touche Entrée pour lancer IPCop.

Changer de configuration par défaut« Oui mais j'aimerais que mon IPCop démarre tout seul ! » La dernière configuration choisie devientla configuration par défaut, jusqu'à ce que vous la modifiez vous-même.

Tester l'accès à IPCopAssurez-vous que vous pouvez accéder à votre IPCop grâce à un navigateur web. IPCop utilise desnuméros de ports non standards pour vous permettre de transférer les ports standards vers de véri-tables serveurs sur le réseau ORANGE. Les exemples suivants supposent que l'adresse attribuée àl'interface VERTE de votre IPCop est 192.168.1.1. Si tel n'est pas le cas, vous devez remplacer cetteadresse par la vôtre dans les lignes de commandes. Vérifiez que vous pouvez 'pinger' IPCop depuisune machine du réseau VERTE. Sous Windows, tapez :

C:\ ping 192.168.1.1

Après l'installation

38

Sous *nix et Macintosh OS X, tapez :

$ ping -n 192.168.1.1

Le serveur DNS mandataire (proxy) d'IPCop n'ayant pas encore été activé depuis les pagesd'administration du système, la commande ping précédente évite volontairement d'effectuer la re-cherche du nom d'hôte pleinement qualifié du PC IPcop.

Si le ping fonctionne, essayez d'accéder à votre machine IPCop en ouvrant dans votre navigateurweb l'URL :

http://192.168.1.1:81/ [http://192.168.1.1:81/]

Vous pouvez ensuite tenter le HTTPS, port http sécurisé, en accédant à l'URL :

https://192.168.1.1:445/ [https://192.168.1.1:445/]

Éventuellement, retirer les périphériques in-utiles

Lorsque vous êtes satisfait de votre installation d'IPCop, vous pouvez retirer du PC IPCop les péri-phériques inutilisés : le moniteur et le lecteur de CD par exemple. Vous voudrez peut être conserverle lecteur de disquette qui peut servir à effectuer des sauvegardes de la configuration. Si le BIOS dela machine le permet, vous pouvez également éviter la détection du clavier au démarrage pour ainsiretirer le clavier.

Si vous débranchez le lecteur de CD et/ou le lecteur de disquette, pensez bien à modifier les para-mètres du BIOS pour que votre PC IPCop tente de démarrer d'abord depuis le disque dur.

Si vous ne débranchez pas le lecteur de disquette, par exemple pour l'utiliser à des fins de sauve-garde, pensez bien à modifier les paramètres du BIOS pour que le PC IPCop ne cherche pas à dé-marrer depuis une disquette laissée par accident dans le lecteur.

Après l'installation

39

http://192.168.1.1:81/

https://192.168.1.1:445/

Annexe A. Introduction rapide auxréseaux locaux

Des documents plus complets sur la mise en place de réseaux informatiques personnels sont dispo-nibles sur le web. Nous vous recommandons de commencer par le Network Administrators Guide[http://www.tldp.org/LDP/nag2/] du Linux Documentation Project.

IPCop a besoin de connexions Ethernet pour l'interface réseau VERTE et pour les éventuelles inter-faces ORANGE et BLEUE. Cette annexe tente de couvrir à la fois le câblage et l'adressage IP d'unréseau pour vous aider dans votre installation d'IPCop.

CâblageÀ moins que vous n'ayez en main de très vieilles cartes Ethernet, vos cartes d'interface réseau(Network Interface Cards ou NICs) accepteront une ou deux vitesses de transmission : 10 megabit,10BaseT, ou 100 megabit, 100BaseT. Vous pouvez reconnaître ces cartes à leur connecteur carré surla face arrière, connecteur nommé RJ45. Si vos cartes disposent d'un type de connecteur différent,reportez-vous au site web du fabricant.

Sauf si vous avez une connexion par ligne louée très rapide, des cartes 10BaseT seront bien suffi-santes comme cartes d'interface sur votre IPCop. Les modems câble n'atteignent que des vitesses detransferts de l'ordre de 3 Megabits/sec. Les modems ADSL ne peuvent aller au dessus de 8 Mega-bits/sec.

Vous allez connecter les ordinateurs sur le réseau VERT à la carte réseau de l'interface VERTE devotre machine IPCop. Si vous souhaitez mettre en place les réseaux ORANGE ou BLEU, vous de-vrez les connecter aux cartes réseau des interfaces ORANGE ou BLEUE sur votre IPCop.

Un unique ordinateur sur VERT, BLEU ou ORANGESi vous envisagez de ne connecter qu'un seul ordinateur sur votre réseau, vous aurez besoin d'unsimple câble catégorie 5 croisé. Vous pouvez différencier un câble croisé d'un câble droit en regar-dant côte à côte les connecteurs RJ45 aux extrémités. Si les fils dans les connecteurs ne sont pas rat-tachés à la même broche de part et d'autre du câble, alors vous êtes en présence d'un câble croisé.Dans le cas contraire, il s'agit d'un câble droit.

Reliez votre IPCop et votre ordinateur client avec un câble croisé. Et voilà ! vous venez d'établir leplus simple des réseaux.

Plusieurs ordinateurs sur un même réseauSi votre réseau dépasse la configuration précédente d'un IPCop et d'une machine cliente, vous de-vrez ajouter un périphérique appelé hub ou switch. Le protocole Ethernet transmet des paquets dedonnées à travers un unique port, donc tous les autres ordinateurs sur le réseau doivent pouvoir voirces paquets et être en mesure d'envoyer d'autres paquets vers les autres ordinateurs de ce réseau.

Si vous possédez un hub ou un switch, vous devrez relier chaque ordinateur au hub ou au switch parun câble catégorie 5 droit. Assurez-vous bien que les câbles utilisés sont des câbles droits en compa-rant les connecteurs RJ45 transparents de chaque extrémité. Si les fils dans les connecteurs sont re-liés de part et d'autre aux même broches, alors vous êtes en présence d'un câble droit.

Adressage IPFormat d'une adresse

Une adresse IP est composée de quatre nombres, pris entre 0 et 255, séparés par des points. Par

40

http://www.tldp.org/LDP/nag2/

exemple 192.168.1.1. Ce format est appelé adresse IP pointée. Chaque ordinateur sur vos réseauxdoit posséder une adresse IP unique. En fonction de votre configuration réseau, IPCop nécessiteentre une et quatre adresses IP différentes.

RéseauxUn réseau IP se compose d'au moins deux ordinateurs possédant des adresses IP dans une mêmeplage. Le masque réseau détermine cette plage. Même s'ils ne sont désormais plus obligatoires, ilexiste plusieurs masques réseaux par défaut différenciés par le premier nombre de l'adresse IP auformat pointé.

Classes d'adresses de réseauxLe premier nombre d'une adresse d'un réseau de classe A appartient à l'intervalle 1-126 (127 est uncas particulier). Ces réseaux, avec leur masque par défaut égal à 255.0.0.0, permettent de connectersur un même réseau plus de 16 millions de machines. Tous les ordinateurs avec une adresse de laforme 4.x.y.z se trouvent sur le même réseau. Alors que les ordinateurs avec des adresses en 5.x.y.zsont sur un réseau de classe A différent. L'adresse IP x.0.0.0 représente l'intégralité du réseau etl'adresse IP x.255.255.255 représente l'adresse de diffusion (broadcast) vers tous les ordinateurs duréseau.

Le premier nombre d'une adresse d'un réseau de classe B appartient à l'intervalle 128 - 191. Ces ré-seaux, avec leur masque par défaut égal à 255.255.0.0, permettent de connecter sur un même réseauplus de 65 000 machines. Tous les ordinateurs avec une adresse de la forme 190.4.y.z se trouventsur le même réseau. Alors que les ordinateurs sur le réseau 190.5.y.z sont sur un réseau de classe Bdifférent. L'adresse IP x.y.0.0 représente l'intégralité du réseau et l'adresse IP x.y.255.255 représentel'adresse de diffusion (broadcast) vers tous les ordinateurs du réseau.

Le premier nombre d'une adresse d'un réseau de classe C appartient à l'intervalle 192 - 203. Ces ré-seaux, avec leur masque par défaut égal à 255.255.255.0 permettent de connecter sur un même ré-seau plus de 250 machines. Tous les ordinateurs avec une adresse de la forme 193.4.5.z se trouventsur le même réseau. Alors que les ordinateurs sur le réseau 193.4.6.z sont sur un réseau de classe Cdifférent. L'adresse IP x.y.z.0 représente l'intégralité du réseau et l'adresse IP x.y.z.255 représentel'adresse de diffusion (broadcast) vers tous les ordinateurs du réseau.

Plages d'adresses privéesPourquoi s'embêter avec cela ?

Les autorités de normalisation ont désigné, dans RFC1918 [ftp://ftp.isi.edu/in-notes/rfc1918.txt],plusieurs plages d'adresses comme étant des plages correspondant à des adresses de réseaux privés.Si des paquets originaires de ces adresses ou dirigés vers ces adresses prenaient la directiond'Internet, ils seraient automatiquement ignorés.

L'une des fonctionnalités d'IPCop est le Port Address Translation ou PAT. Avec cette technique,n'importe quelle conversation sur Internet apparaîtra comme issue de l'adresse de l'interface ROUGEd'IPCop. Pour protéger encore plus efficacement vos réseaux VERT, BLEU ou ORANGEd'utilisateurs mal intentionnés, il est recommandé d'utiliser des plages d'adresses privées pour vosréseaux. Rappellez-vous bien que vos réseaux VERT, BLEU et ORANGE doivent avoir desadresses réseaux différentes.

Les plages d'adresses privées sont les suivantes :

• 10.0.0.0 - Un réseau de classe A. Vous pouvez par définition connecter plus de 16 millionsd'ordinateur sur ce réseau.

• 172.16.0.0 jusqu'à 172.31.0.0 - 16 réseaux de classe B. Vous pouvez par définition connecterplus de 65 000 ordinateurs sur chaque réseau.

• 192.168.0.0 jusqu'à 192.168.255.0 - 256 réseaux de classe C. Vous pouvez par définition

Introduction rapide aux réseaux locaux

41

ftp://ftp.isi.edu/in-notes/rfc1918.txt

connecter un peu plus de 250 ordinateurs sur chaque réseau.

Vous pouvez si vous le désirez subdiviser chaque réseau en utilisant un masque de réseau spéci-fique. Par exemple, si vous souhaitez conserver les réseaux VERT et ORANGE dans la même plaged'adressage privé, et que vous n'envisagez pas de dépasser 32 mille ordinateurs par réseau, vouspouvez utiliser 172.16.0.0 avec un masque réseau 255.255.128.0 pour votre réseau VERT et172.16.128.0.0 associé au même masque pour votre réseau ORANGE Vous avez toujours la possibi-lité de connecter pas moins de 32 mille ordinateurs sur chaque réseau.

Introduction rapide aux réseaux locaux

42

Annexe B. Résolution des problèmesd'installationConsoles cachées

Durant toute l'étape d'installation, il existe deux terminaux virtuels cachés qui peuvent avantageuse-ment être utilisés pour identifier et corriger un problème. L'écran que vous voyez habituellementpendant l'installation s'obtient en pressant la combinaison ALT-F1.

Si vous pressez ALT-F2 vous pourrez visualiser les messages détaillés résultant des commandes Li-nux exécutées durant l'installation.

Lorsque IPCop est installé sur votre disque dur, les derniers messages affichés lors du démarragesont disponibles en pressant ALT-F12. Si IPCop ne démarre pas correctement, vous êtes peut êtreconfronté à une erreur due au matériel, pensez alors à consulter cet écran.

43

Si vous pressez ALT-F3, vous vous retrouverez sur une ligne de commande Linux.

Pendant la première partie de l'installation, jusqu'à ce que le système soit complètement créé, lescommandes disponibles ici sont extrêmement limitées. Tapez

# help

pour afficher une liste des commandes shell intégrées, ou

# ls /bin

pour afficher une liste des commandes individuelles.

Oubli/perte du mot de passe rootSi vous interrompez l'installation ou si vous perdez votre mot de passe d'utilisateur root, vous pou-vez réparer en lançant IPCop en mode « single user ». Pour cela, branchez un écran et un clavier àvotre machine IPCop et faites-la redémarrer. Pendant ce redémarrage, au moment de l'affichage del'invite GRUB, pressez la touche a. Une ligne de commande assez longue est alors affichée, le cur-seur se trouvant en bout de ligne. Pressez la barre Espace et tapez le mot suivant :

single

puis pressez la touche Entrée. Votre IPCop va alors démarrer puis vous proposer une ligne de com-mande en utilisateur root sans avoir demandé de mot de passe. Tapez :

sh-2.05b# passwd

Le nouveau mot de passe vous est demandé deux fois pour vérification. Vous pouvez maintenant re-démarrer votre machine par la commande :

sh-2.05b# /usr/local/bin/ipcoprebirth

Résolution des problèmes d'installation

44

Annexe C. Installation d'IPCop sur unsystème à base de mémoire FlashPourquoi vouloir monter un système utilisantde la mémoire Flash ?

Aimeriez-vous faire de votre IPCop une machine silencieuse dédiée à la sécurité de votre réseau ?Nombreux sont les utilisateurs d'IPCop qui retirent de leur machine le lecteur de CD, le lecteur dedisquette, le clavier et le moniteur. Pourquoi ne pas également enlever le disque dur ?

En faisant une installation d'IPCop sur compact flash, la carte compact flash remplace votre disquedur. Vous obtenez alors une machine bien moins bruyante puisque sans disque dur et sans même, leplus souvent, de ventilateur. Les systèmes à base de Flash utilisent généralement les cartes mère auformat « MiniITX » ou d'un autre petit format de carte. Il existe plusieurs fabricants de machines dece type, disposant de plusieurs cartes réseau et donc bien adaptées à devenir des machines IPCop.

Évidemment, ces machines sont plus chères que des machines récyclées.

Une autre raison classique d'utiliser un système à base de flash est que ces systèmes deviennent faci-lement transportables. Vous pouvez ainsi l'emmener avec votre ordinateur portable et l'utilisercomme pare-feu dans votre chambre d'hôtel.

Vous vous posez peut être la question de la viabilité de ce type de système sachant que le nombred'écriture sur la compact flash est limité. IPCop modifie les paramètres de son système de fichiers desorte que les dates de dernier accès à chaque fichier ne sont pas enregistrées sur le disque dur simu-lé. Les journaux d'évènements et les autres fichiers temporaires sont conservés dans un ram disk.Les journaux sont compressés avant d'être stockés sur la carte une fois par semaine, ou à l'extinctionde la machine ou encore lorsque le ram disk est plein. Avec cette stratégie, la durée de vie d'unecarte compact flash est estimée à 5 ans.

Autres ressources sur CFSi vous êtes intéréssés, visitez le site linITX.org [http://www.linitx.org]. Vous trouverez plusieurssujets autour d'IPCop dans les pages de ce site.

Le site linITX.com [http://linitx.com/support/download.php] propose en général la toute dernièreimage flash d'IPCop dans ses pages de support.

Présentation de la tâcheVoici un aperçu rapide de ce que vous devrez faire pour installer IPCop sur une carte compact flash:

• Récupérer et vous familiariser avec la machine cible, la mémoire compact flash, etc.

• Obtenir un adapteur compact flash pour écrire sur la carte et vous familiariser avec son manie-ment.

• Si vous envisagez de créer votre propre image compact flash :

• Installer IPCop sur une machine semblable ou un simulateur en utilisant le media de distri-bution classique.

• Télécharger depuis le CVS les fichiers du répertoire ipcop/tools/mkflash et les trans-

45

http://www.linitx.org

http://linitx.com/support/download.php

férer vers votre IPCop.

• Vous identifier sur l'IPCop comme utilisateur root et lancer le script mkflash.sh.

• Transférer le fichier flash.img généré vers une autre machine.

• Utiliser l'adaptateur compact flash pour écrire le fichier image sur la carte compact flash.

• Installer la carte compact flash dans la machine cible et démarrer la machine pour démarrer IP-Cop.

• Assigner les pilotes de carte Ethernet aux cartes de votre nouvelle machine.

Étapes d'installation CFRécupérer la machine cible

Vous devez commencer par obtenir la machine cible. Beaucoup de ces machines n'ont pas le lecteurde compact flash sur le premier emplacement du contrôleur de disque dur. Vous devez donc déter-miner sous quel nom le lecteur de compact flash apparaît.

Évidemment, vous devez disposer d'une carte Compact Flash. Vous pouvez utiliser une carte de128, 512 Mo ou même 1Go. Plus la capacité de la carte est importante, plus cette carte pourraconserver de fichiers d'évènements.

La version flash d'IPCop utilise un ram disk de 64 Mo pour stocker les journaux avant qu'ils nesoient compressés et stockés durablement sur la carte compact flash. Le ram disk sert égalementpour le cache du serveur mandataire web (proxy). Vous pouvez ainsi déterminer la quantité de mé-moire vive nécessaire au ram disk ainsi qu'au fonctionnement d'IPCop. 128 MByte devrait suffire.

Dans la mesure où IPCop est un projet de Logiciel Libre, sans affiliation commerciale avec telle outelle entité, nous ne recommandons pas une machine particulière. Ce sujet a été discuté plusieursfois sur les listes de diffusion d'IPCop. Rendez-vous sur la page des listes de diffusion du projet IP-Cop [http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopMailingListsfr] et faites une recherchedans les archives sur des échanges concernant l'installation sur compact flash.

Si vous prévoyez d'utiliser une image provenant de l'Internet, téléchargez-la et passez directement àl'étape d'écriture de l'image sur la compact flash, sinon poursuivez avec l'étape d'installation d'IPCopsur une machine intermédiaire.

Installer IPCop sur une machine intermédiaireL'étape suivante consiste en la préparation d'une machine disposant d'un disque dur d'au moins 500MByte pour installer et faire tourner IPCop. Vous n'avez pas besoin d'une machine physique pourcela. Bochs [http://bochs.sourceforge.net/], un simulateur x86, est un Logiciel Libre. Les instruc-tions pour l'installation de Bochs pour IPCop sont disponibles dans le Bochs HOWTO (en anglais)[http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopBochsv01]. D'autres simulateurs existent etpeuvent également être utilisés, certains d'entre eux étant commerciaux. Dans tous les cas, rien nes'oppose à l'utilisation d'un ordinateur réel.

Même si il est possible d'utiliser une machine IPCop existante, tous les journaux d'évènements de-vront être effacés. mkflash.sh essayera de copier tous les fichiers journaux existants et les fichierscache de snort dans l'image flash qu'il va créer. Vous pourriez rapidement remplir l'image flash enlaissant ces fichiers. Souvenez-vous bien que les journaux et les fichiers cache de snort se retrouve-ront dans un ram disk dédié lorsque votre système à base de compact flash fonctionnera.

Installez IPCop sur la machine intermédiaire. Une installation à partir du CD-ROM est probable-ment la plus simple dans la mesure où la plupart des simulateurs permettent d'utiliser directement

Installation d'IPCop sur un système à base demémoire Flash

46

http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopMailingListsfr

http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopMailingListsfr

http://bochs.sourceforge.net/

http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopBochsv01

une image ISO.

Récupérer mkflash.sh et les fichiers associésLes fichiers nécessaires à la création d'une image compact flash se trouvent sur le serveur CVS duprojet IPCop sur SourceForge.net. Pour les obtenir, rendez-vous sur la page de visualisation du CVSd'IPCop pour mkflash[http://cvs.sourceforge.net/viewcvs.py/ipcop/ipcop/tools/mkflash/?only_with_tag=IPCOP_v1_4_0]et téléchargez à l'aide de votre navigateur web les fichiers listés.

Télécharger mkflash.shAssurez-vous de bien avoir activé ssh sur votre machine intermédiaire. Transférez vers le répertoirede l'utilisateur root de la machine intermédiaire les fichiers que vous venez de récupérer. Regardezle Manuel d'Administration d'IPCop [http://www.ipcop.org/1.4.0/fr/admin/html/system.html#ssh]pour la marche à suivre pour activer ssh et pour transférer des fichiers vers IPCop.

Lancer mkflash.shIdentifiez-vous sur la machine intermédiaire comme utilisateur root. Le shell script mkflash.shne possédera pas le droit d'exécution après que vous l'ayez transféré sur la machine intermédiaire.La commande suivante corrige ce problème :

# chmod u+x mkflash.sh

Maintenant, lancez mkflash.sh. Vous devez indiquer sur la ligne de commande la capacité de votrecarte compact flash ainsi que le nom du disque que votre carte remplacera. Par exemple, pour créerune image 128 Mo qui remplacera le disque hdc, la commande s'écrit :

# ./mkflash.sh 128 hdc

Lorsque mkflash.sh se termine, un fichier nommé /tmp/nnnflash.img (où nnn correspond à lacapacité de la carte) sera disponible sur votre machine intermédiaire. Utilisez scp ou pscp sous Win-dows pour transférer le fichier nnnflash.img vers une autre machine et pouvoir enfin l'écrire survotre compact flash.

Écrire sur la Compact FlashBranchez votre adaptateur compact flash sur votre station de travail et insérez votre carte compactflash. Suivant le matériel utilisé, il peut être nécessaire d'éteindre votre machine pour le branche-ment de l'adapteur et l'insertion de la carte. Reportez-vous à la documentation accompagnant votreadaptateur.

Écrire sur une Compact Flash sous *nix

Si votre station de travail est sous *nix, vous devrez déterminer sous quel nom de disque dur appa-raît votre adaptateur compact flash.

Utilisez la commande df pour voir quels sont les périphériques physiques actuellement montés et cequ'ils contiennent. N'utilisez aucune des entrées retournées comme cible de destination de dd. Parexemple, si vous voyez plusieurs systèmes de fichiers sur /dev/hdan, n'utilisez pas /dev/hda commecible de destination de la commande dd.


47

http://cvs.sourceforge.net/viewcvs.py/ipcop/ipcop/tools/mkflash/?only_with_tag=IPCOP_v1_4_0

http://cvs.sourceforge.net/viewcvs.py/ipcop/ipcop/tools/mkflash/?only_with_tag=IPCOP_v1_4_0

http://www.ipcop.org/1.4.0/fr/admin/html/system.html#ssh

Essayez de monter d'autres disques physiques pour déterminer sous quel nom apparaît votre adapta-teur, en particulier /dev/hdn1 et /dev/sdn1. Lorsque vous avez déterminé son nom, démontezle périphérique avec la commande umount.

Lancez la commande suivante :

# dd if=nnnflash.img of=/dev/hdn

La création de votre compact flash peut prendre quelques minutes.

Lorsque la commande dd redonne la main, montez la partition /dev/hdn1 avec mount et vérifiez quevous pouvez lire le contenu de cette première partition IPCop en lançant la commande ls. Démontezensuite le disque avec umount.

Écrire sur la Compact Flash sous Windows

Il existe plusieurs programmes permettant de créer sous Windows une image pour compact flash.physdiskwrite [http://m0n0.ch/wall/physdiskwrite.php] est l'un d'eux.

Utilisez l'un de ces programmes pour écrire l'image sur votre compact flash. Cette opération peutprendre un peu de temps.

Installer votre nouvelle image et démarrerVous êtes enfin prêt à brancher votre compact flash dans la machine cible. Démarrez-la. Si vous ob-tenez un message d'erreur concernant l'impossibilité du noyau de trouver le système de fichier ra-cine, votre disque dur ne correspond pas à celui sensé être utilisé par la compact flash.

Lancer la commande setupIl est malheureusement possible que la configuration de votre adaptateur réseau et/ou modem sur lamachine cible soit différente de celle de la machine intermédiaire. C'est particulièrement vrai si vousavez téléchargé l'image compact flash de l'Internet.

Pour corriger ce genre de problème et pour remettre à zéro vos mots de passe, identifiez-vous sur lamachine cible en utilisateur root. Lancez la commande setup pour modifier la configuration d'IPCopà vos besoins.

Faire une sauvegarde de votre CompactFlash avec ssh

Lorsque IPCop est installé sur une compact flash, la fonction de sauvegarde reste disponible. Enplus de cela, il peut être intéressant de créer une sauvegarde de l'intégralité de l'image présente sur lacompact flash dans un fichier possédant une extension .img. De cette façon, si vous souhaitez créerune nouvelle compact flash avec la même configuration, vous pouvez utiliser directement ce fichier.img.

Assurez-vous par l'intermédiaire de la page web[http://www.ipcop.org/1.4.0/fr/admin/html/system.html#ssh] que ssh est activé. Ensuite, depuis unemachine Unix ou Linux ou une machine Windows avec Cygwin, tapez la ligne suivante :

$ ssh -p 222 [email protected] "dd if=/dev/harddisk >backup.img"


48

http://m0n0.ch/wall/physdiskwrite.php

http://www.ipcop.org/1.4.0/fr/admin/html/system.html#ssh

Cette ligne utilise la capacité de ssh à exécuter les commandes ajoutées à la fin de sa ligne de com-mande. Dans ce cas là, la commande utilise la commande dd pour faire une copie complète ducontenu de la carte compact flash et place le résultat dans un fichier sur l'ordinateur local.


49

Annexe D. GNU Free DocumentationLicense

Version 1.2, November 2002

Copyright (C) 2000,2001,2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston,MA 02111-1307 USA. Everyone is permitted to copy and distribute verbatim copies of this licensedocument, but changing it is not allowed.

0. PreambleThe purpose of this License is to make a manual, textbook, or other functional and useful document« free » in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it,with or without modifying it, either commercially or noncommercially. Secondarily, this Licensepreserves for the author and publisher a way to get credit for their work, while not being consideredresponsible for modifications made by others.

This License is a kind of « copyleft », which means that derivative works of the document mustthemselves be free in the same sense. It complements the GNU General Public License, which is acopyleft license designed for free software.

We have designed this License in order to use it for manuals for free software, because free softwareneeds free documentation: a free program should come with manuals providing the same freedomsthat the software does. But this License is not limited to software manuals; it can be used for anytextual work, regardless of subject matter or whether it is published as a printed book. We recom-mend this License principally for works whose purpose is instruction or reference.

1. Applicability and DefinitionsThis License applies to any manual or other work, in any medium, that contains a notice placed bythe copyright holder saying it can be distributed under the terms of this License. Such a noticegrants a world-wide, royalty-free license, unlimited in duration, to use that work under the condi-tions stated herein. The « Document », below, refers to any such manual or work. Any member ofthe public is a licensee, and is addressed as « you ». You accept the license if you copy, modify ordistribute the work in a way requiring permission under copyright law.

A « Modified Version » of the Document means any work containing the Document or a portion ofit, either copied verbatim, or with modifications and/or translated into another language.

A « Secondary Section » is a named appendix or a front-matter section of the Document that dealsexclusively with the relationship of the publishers or authors of the Document to the Document'soverall subject (or to related matters) and contains nothing that could fall directly within that overallsubject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may notexplain any mathematics.) The relationship could be a matter of historical connection with the sub-ject or with related matters, or of legal, commercial, philosophical, ethical or political position regar-ding them.

The « Invariant Sections » are certain Secondary Sections whose titles are designated, as being thoseof Invariant Sections, in the notice that says that the Document is released under this License. If asection does not fit the above definition of Secondary then it is not allowed to be designated as Inva-riant. The Document may contain zero Invariant Sections. If the Document does not identify any In-variant Sections then there are none.

The « Cover Texts » are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-CoverText may be at most 5 words, and a Back-Cover Text may be at most 25 words.

A « Transparent » copy of the Document means a machine-readable copy, represented in a formatwhose specification is available to the general public, that is suitable for revising the document

50

straightforwardly with generic text editors or (for images composed of pixels) generic paint pro-grams or (for drawings) some widely available drawing editor, and that is suitable for input to textformatters or for automatic translation to a variety of formats suitable for input to text formatters. Acopy made in an otherwise Transparent file format whose markup, or absence of markup, has beenarranged to thwart or discourage subsequent modification by readers is not Transparent. An imageformat is not Transparent if used for any substantial amount of text. A copy that is not« Transparent » is called « Opaque ».

Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfoinput format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of trans-parent image formats include PNG, XCF and JPG. Opaque formats include PostScript, PDF, pro-prietary formats that can be read and edited only by proprietary word processors, SGML or XMLfor which the DTD and/or processing tools are not generally available, and the machine-generatedHTML, PostScript or PDF produced by some word processors for output purposes only.

The « Title Page » means, for a printed book, the title page itself, plus such following pages as areneeded to hold, legibly, the material this License requires to appear in the title page. For works informats which do not have any title page as such, « Title Page » means the text near the most pro-minent appearance of the work's title, preceding the beginning of the body of the text.

A section "Entitled XYZ" means a named subunit of the Document whose title either is preciselyXYZ or contains XYZ in parentheses following text that translates XYZ in another language. (HereXYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedica-tions", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modifythe Document means that it remains a section "Entitled XYZ" according to this definition.

The Document may include Warranty Disclaimers next to the notice which states that this Licenseapplies to the Document. These Warranty Disclaimers are considered to be included by reference inthis License, but only as regards disclaiming warranties: any other implication that these WarrantyDisclaimers may have is void and has no effect on the meaning of this License.

2. Verbatim CopyingYou may copy and distribute the Document in any medium, either commercially or noncommercial-ly, provided that this License, the copyright notices, and the license notice saying this License ap-plies to the Document are reproduced in all copies, and that you add no other conditions whatsoeverto those of this License. You may not use technical measures to obstruct or control the reading orfurther copying of the copies you make or distribute. However, you may accept compensation in ex-change for copies. If you distribute a large enough number of copies you must also follow the condi-tions in section 3.

You may also lend copies, under the same conditions stated above, and you may publicly displaycopies.

3. Copying In QuantityIf you publish printed copies (or copies in media that commonly have printed covers) of the Docu-ment, numbering more than 100, and the Document's license notice requires Cover Texts, you mustenclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Textson the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legi-bly identify you as the publisher of these copies. The front cover must present the full title with allwords of the title equally prominent and visible. You may add other material on the covers in addi-tion. Copying with changes limited to the covers, as long as they preserve the title of the Documentand satisfy these conditions, can be treated as verbatim copying in other respects.

If the required texts for either cover are too voluminous to fit legibly, you should put the first oneslisted (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.

If you publish or distribute Opaque copies of the Document numbering more than 100, you must ei-ther include a machine-readable Transparent copy along with each Opaque copy, or state in or with

GNU Free Documentation License

51

each Opaque copy a computer-network location from which the general network-using public hasaccess to download using public-standard network protocols a complete Transparent copy of theDocument, free of added material. If you use the latter option, you must take reasonably prudentsteps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent co-py will remain thus accessible at the stated location until at least one year after the last time you dis-tribute an Opaque copy (directly or through your agents or retailers) of that edition to the public.

It is requested, but not required, that you contact the authors of the Document well before redistribu-ting any large number of copies, to give them a chance to provide you with an updated version ofthe Document.

4. ModificationsYou may copy and distribute a Modified Version of the Document under the conditions of sections2 and 3 above, provided that you release the Modified Version under precisely this License, with theModified Version filling the role of the Document, thus licensing distribution and modification ofthe Modified Version to whoever possesses a copy of it. In addition, you must do these things in theModified Version:

A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, andfrom those of previous versions (which should, if there were any, be listed in the History sec-tion of the Document). You may use the same title as a previous version if the original publi-sher of that version gives permission.

B. List on the Title Page, as authors, one or more persons or entities responsible for authorship ofthe modifications in the Modified Version, together with at least five of the principal authors ofthe Document (all of its principal authors, if it has fewer than five), unless they release youfrom this requirement.

C. State on the Title page the name of the publisher of the Modified Version, as the publisher.

D. Preserve all the copyright notices of the Document.

E. Add an appropriate copyright notice for your modifications adjacent to the other copyright no-tices.

F. Include, immediately after the copyright notices, a license notice giving the public permissionto use the Modified Version under the terms of this License, in the form shown in the Adden-dum below.

G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts gi-ven in the Document's license notice.

H. Include an unaltered copy of this License.

I. Preserve the section entitled « History », Preserve its Title, and add to it an item stating at leastthe title, year, new authors, and publisher of the Modified Version as given on the Title Page. Ifthere is no section Entitled « History » in the Document, create one stating the title, year, au-thors, and publisher of the Document as given on its Title Page, then add an item describing theModified Version as stated in the previous sentence.

J. Preserve the network location, if any, given in the Document for public access to a Transparentcopy of the Document, and likewise the network locations given in the Document for previousversions it was based on. These may be placed in the « History » section. You may omit a net-work location for a work that was published at least four years before the Document itself, or ifthe original publisher of the version it refers to gives permission.

K. In any section Entitled « Acknowledgements » or « Dedications », Preserve the Title of the sec-tion, and preserve in the section all the substance and tone of each of the contributor acknow-ledgements and/or dedications given therein.


52

L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles.Section numbers or the equivalent are not considered part of the section titles.

M. Delete any section Entitled « Endorsements ». Such a section may not be included in the Modi-fied Version.

N. Do not retitle any existing section to be Entitled « Endorsements » or to conflict in title withany Invariant Section.

O. Preserve any Warranty Disclaimers.

If the Modified Version includes new front-matter sections or appendices that qualify as SecondarySections and contain no material copied from the Document, you may at your option designate someor all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in theModified Version's license notice. These titles must be distinct from any other section titles.

You may add a section Entitled « Endorsements », provided it contains nothing but endorsements ofyour Modified Version by various parties--for example, statements of peer review or that the texthas been approved by an organization as the authoritative definition of a standard.

You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 wordsas a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one pas-sage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangementsmade `by) any one entity. If the Document already includes a cover text for the same cover, pre-viously added by you or by arrangement made by the same entity you are acting on behalf of, youmay not add another; but you may replace the old one, on explicit permission from the previous pu-blisher that added the old one.

The author(s) and publisher(s) of the Document do not by this License give permission to use theirnames for publicity for or to assert or imply endorsement of any Modified Version.

5. Combining DocumentsYou may combine the Document with other documents released under this License, under the termsdefined in section 4 above for modified versions, provided that you include in the combination all ofthe Invariant Sections of all of the original documents, unmodified, and list them all as InvariantSections of your combined work in its license notice, and that you preserve all their Warranty Dis-claimers.

The combined work need only contain one copy of this License, and multiple identical InvariantSections may be replaced with a single copy. If there are multiple Invariant Sections with the samename but different contents, make the title of each such section unique by adding at the end of it, inparentheses, the name of the original author or publisher of that section if known, or else a uniquenumber. Make the same adjustment to the section titles in the list of Invariant Sections in the licensenotice of the combined work.

In the combination, you must combine any sections Entitled « History » in the various original do-cuments, forming one section Entitled « History »; likewise combine any sections Entitled« Acknowledgements », and any sections Entitled « Dedications ». You must delete all sections En-titled « Endorsements. »

6. Collections of DocumentsYou may make a collection consisting of the Document and other documents released under this Li-cense, and replace the individual copies of this License in the various documents with a single copythat is included in the collection, provided that you follow the rules of this License for verbatim co-pying of each of the documents in all other respects.

You may extract a single document from such a collection, and distribute it individually under thisLicense, provided you insert a copy of this License into the extracted document, and follow this Li-


53

cense in all other respects regarding verbatim copying of that document.

7. Aggregation With Independent WorksA compilation of the Document or its derivatives with other separate and independent documents orworks, in or on a volume of a storage or distribution medium, is called an « aggregate » if the copy-right resulting from the compilation is not used to limit the legal rights of the compilation's usersbeyond what the individual works permit. When the Document is included an aggregate, this Li-cense does not apply to the other works in the aggregate which are not themselves derivative worksof the Document.

If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if theDocument is less than one half of the entire aggregate, the Document's Cover Texts may be placedon covers that bracket the Document within the aggregate, or the electronic equivalent of covers ifthe Document is in electronic form. Otherwise they must appear on printed covers that bracket thewhole aggregate.

8. TranslationTranslation is considered a kind of modification, so you may distribute translations of the Documentunder the terms of section 4. Replacing Invariant Sections with translations requires special permis-sion from their copyright holders, but you may include translations of some or all Invariant Sectionsin addition to the original versions of these Invariant Sections. You may include a translation of thisLicense, and all the license notices in the Document, and any Warrany Disclaimers, provided thatyou also include the original English version of this License and the original versions of those no-tices and disclaimers. In case of a disagreement between the translation and the original version ofthis License or a notice or disclaimer, the original version will prevail.

If a section in the Document is Entitled « Acknowledgements », « Dedications », or « History », therequirement (section 4) to Preserve its Title (section 1) will typically require changing the actualtitle.

9. TerminationYou may not copy, modify, sublicense, or distribute the Document except as expressly provided forunder this License. Any other attempt to copy, modify, sublicense or distribute the Document isvoid, and will automatically terminate your rights under this License. However, parties who have re-ceived copies, or rights, from you under this License will not have their licenses terminated so longas such parties remain in full compliance.

10. Future Revisions of This LicenseThe Free Software Foundation may publish new, revised versions of the GNU Free DocumentationLicense from time to time. Such new versions will be similar in spirit to the present version, butmay differ in detail to address new problems or concerns. See the GNU Free Documentation Li-cense [http://www.gnu.org/licenses/licenses.html#FDL] web site.

Each version of the License is given a distinguishing version number. If the Document specifies thata particular numbered version of this License « or any later version » applies to it, you have the op-tion of following the terms and conditions either of that specified version or of any later version thathas been published (not as a draft) by the Free Software Foundation. If the Document does not spe-cify a version number of this License, you may choose any version ever published (not as a draft) bythe Free Software Foundation.

ADDENDUM: How to use this License foryour documents


54

http://www.gnu.org/licenses/licenses.html#FDL

http://www.gnu.org/licenses/licenses.html#FDL

To use this License in a document you have written, include a copy of the License in the documentand put the following copyright and license notices just after the title page:

Copyright© YEAR YOUR NAME. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation Li-cense, Version 1.2 or any later version published by the Free Software Founda-tion; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.A copy of the license is included in the section entitled « GNU Free Documenta-tion License ».

If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, replace the« with...Texts. » line with this:

with the Invariant Sections being LIST THEIR TITLES, with the Front-CoverTexts being LIST, and with the Back-Cover Texts being LIST.

If you have Invariant Sections without Cover Texts, or some other combination of the three, mergethose two alternatives to suit the situation.

If your document contains nontrivial examples of program code, we recommend releasing theseexamples in parallel under your choice of free software license, such as the GNU General Public Li-cense [http://www.gnu.org/licenses/gpl.html] to permit their use in free software.


55

